「運命の出会い」に潜むリスク―増加するSNSロマンス詐欺の実態―
デジタルアイデンティティを悪用した詐欺、なりすましなどの被害拡大を受け、政府もマッチングアプリやSNS事業者に対して本人確認の厳格化を働きかけています。本稿では、ロマンス詐欺の実態を解説します。
バーチャルパワープラント(VPP)事業におけるサイバーセキュリティリスクへの対応支援
近年、家庭・ビル・工場など点在する複数の小規模な発電設備や蓄電設備を集約し、あたかも1つの発電所のように活用する仮想発電所(VPP:Virtual Power Plant)が注目されています。PwCコンサルティングは、制御系、情報系、クラウド、IoT機器等、さまざまな要素が連携するVPP環境において、セキュリティリスクの可視化から設計、診断・テストまでのセキュリティ対策および対応プロセス・運用体制の構築を一貫して支援します。
VPPを活用した新たなビジネスに高い期待
VPPは再エネ発電機器や蓄電池などのエネルギーリソースを、IoT技術を使って遠隔で制御することで、エネルギーリソース側から電力系統に電力を流したり、需要を削減するなどのDR(Demand Response)を行ったりすることで、1つの発電所のように利用する仕組みです。このような技術を筆頭に電力業界を取り巻くビジネスモデルが大きく変わりつつあります。
VPPの活用に伴う新たなサイバーセキュリティリスク
既に多くの事業者にてエネルギーマネジメント/VPP実証の活用を含めた事業化が検討・推進されていますが、VPP環境でのサイバーセキュリティの担保が障壁の一つとなっています。
サイバーセキュリティ観点における不安(例)
- 各種制約(ERAB※サイバーセキュリティガイドラインなど)をどのように遵守すればよいかイメージできない
- 関連するステークホルダー(他社リソースアグリゲーター、需要家など)へのセキュリティ要求事項が具体化できない
- 従来システムと比較して、IoTは個々の機器までセキュリティ対策が行き届かず、IoT特有のリスクの可視化・対応やセキュアなIoT調達プロセスの確立が必要
- 新しいサービスや需要家側のERAB制御対象機器における新たな接続形態の出現等の変化によるセキュリティリスクの増大
※ERABは「エネルギー・リソース・アグリゲーション・ビジネス」の略称
サイバーセキュリティの担保にあたっては、ERABに関するサイバーセキュリティガイドラインへの準拠が必要
「ERABに関するサイバーセキュリティガイドラインVer3.0(資源エネルギー庁・独立行政法人 情報処理推進機構発行)」の制約事項を踏まえて、ERABに参画する各事業者はサイバーセキュリティ要件の整備、および対策実装、評価が必要です。
「ERABに関するサイバーセキュリティガイドライン」改定
ERABシステムを取り巻く環境の変化を踏まえ、「ERABに関するサイバーセキュリティガイドライン」がVer3.0へと改定される予定です。従来のようにゲートウェイやEMSを介さずに通信・制御を行うようなDRサービスの登場や、IoT機器の導入数増加による脅威の増大等の概況を鑑みた、新たなリスクへの対応を求める条項等が改定内容として追加される見込みです。
バージョン3.0に追加される見込みの、主な勧告・推奨事項
- 資産ベースおよび脅威シナリオベースによるリスク分析の実施
- ERAB参画事業者が自組織の資産の脆弱性を特定・文書化し、それをリソースアグリゲーターと共有すること
- ERAB制御対象のエネルギー機器が設置される需要家を含む、ERABシステムの利用者への脆弱性対策情報・脅威情報を通知すること
- 多様なリスク(標的型攻撃、不正アクセス、情報の改ざん、高負荷攻撃、ランサムウェア感染等)を想定した、対策の検討
- ERAB制御対象のIoT製品やゲートウェイ機器等を選定する際、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が定める、セキュリティ要件に準拠したサービスレベルを満たす製品を選定すること
- ERABガイドラインに記載のセキュリティ活動(脆弱性有無の確認、システム異常の検知、機能や権限、設定ミス確認 等)を実施するための対応体制の構築
今回新たに規定される見込みのリスク分析は、自組織のVPPシステムのリスクの可視化および必要なセキュリティ対策を導出するのに有益な対応となります。一方、事業者側で「どのようなリスク分析手法」で、「どこまでのシステム範囲」を評価し、「どのような優先順位で対策を実施すべきか」、予め整理・検討をしておかなければ、リスク分析の際に過剰なリソース消費や期待するような結果が導出できないといった事態に陥るおそれがあります。また、リスク分析は1回のみの実施ではなく、VPPシステムの大幅更新や制御対象機器の新たな利用形態の出現、新規事業者の接続等のタイミングで再度実施することで、変化・増大するリスクに柔軟に対応することが肝要となりますが、自組織のリソース状況を鑑みた適切な頻度やタイミングを考慮しないと過剰な負担に繋がりかねません。そのため、自組織にリスク分析の実績や対応ノウハウが少ない場合は、第三者による評価を利用することも有効な手段となります。
特に「IoT特有の性質」を考慮したリスク可視化・対策検討に注意が必要
従来のシステムと比較して、IoTシステムは個々のデバイスまでセキュリティ監視が行き届きにくく、不正接続・マルウェア感染・破壊・盗難などにより、異常が広範囲に及ぶ可能性があります。このようなIoT特有の性質を勘案した上で、セキュリティリスクの洗い出し、セキュリティ要件定義・設計・調達が必要です。
PwCのVPP事業におけるサイバーセキュリティリスクへの対応支援
PwCコンサルティングは、制御系、情報系、クラウド、インターネット、IoT機器等、さまざまなバーチャル・フィジカル要素が相互に連携するVPP環境において、セキュリティリスクの可視化から設計、診断・テストまでのセキュリティ対策および対応プロセス・運用体制の構築を一貫して支援します。
主なサービス内容
- VPPシステムにおけるセキュリティリスクの可視化、および要件明確化
- 各法令・ガイドラインや外部要求事項に準拠したセキュリティ要件の実装方針の明確化
- セキュリティ運用体制・業務プロセスの設計
- IoTデバイス(ゲートウェイ等)におけるセキュリティ対策の整備
- 第三者視点でのVPPセキュリティ対策の充足度評価
- クラウド・IoT環境における脆弱性診断・ペネトレーションテスト
- 制御対象機器やクラウドサービスのセキュア調達プロセスの策定
インサイト/ニュース
20 results
Loading...
サイバー脅威:2024年を振り返る
2024年は不安定な地政学的情勢やAI技術の進化などが影響し、サイバー脅威アクターの活動が全体的に増加しました。本年次レポートではサイバー脅威を取り巻く主なアクター、トレンド、ツール、目的についての考察や、インシデント事例を掲載しています。
「ブリュッセル効果」にもたらされる変化と日本への影響
第2次トランプ政権発足に伴う「ブリュッセル効果」への影響や変化の時代における日本への示唆を、コロンビア大学ロースクール 教授・PwC Japanグループ顧問 Anu Bradfordに聞きました。
規制対応から見たCRI Profileの有用性と国内外での活用動向
金融分野におけるサイバーセキュリティの課題に対応できるガイドラインとして、CRI Profileの有用性とグローバルトレンドなどについて活用事例を挙げて解説します。
Loading...
