サイバー攻撃からライフラインを守れ!

本稿では、社会インフラや公共性のあるサービスを提供する事業者等を取り巻くサイバーリスク環境の変化と、サイバー攻撃に備えるための経営管理態勢の整備について解説します。

本稿では、社会インフラや公共性のあるサービスを提供する事業者等を取り巻くサイバーリスク環境の変化と、サイバー攻撃に備えるための経営管理態勢の整備について解説します。

大規模停電、ガスタンク爆発、水道管破裂、列車の脱線、原子炉の異常停止、生産ラインのダウン、これらは単なる事故ではなく、すべてサイバー攻撃によって引き起こされ得る事象です。“サイバー・フィジカル・アタック”とも呼ばれるこの脅威への対策は、リスクマネジメントの一環として急務と言えます。

本稿では、社会インフラや公共性のあるサービスを提供する事業者、およびこれらの事業者とサプライチェーンを構成する企業・組織を取り巻くサイバーリスク環境の変化と、サイバー攻撃に備えるための経営管理体制の整備について解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

図表:サイバー・フィジカル・アタック

図表:サイバー・フィジカル・アタック

IoT・クラウド・AIなどの技術革新に伴う利便性・効率性・正確性・安全性の向上と引き換えに、ライフラインや社会インフラはサイバー攻撃による不正操作・異常動作、ひいては人命にかかわるリスクにさらされている

Point1 深刻化するサイバーリスク/Point2 サイバー経営が不可欠

Point1 深刻化するサイバーリスク/Point2 サイバー経営が不可欠

I.狙われるライフライン

1.サイバー・フィジカル・アタックの脅威

発電所、航空管制、金融トランザクション、医療設備など、ライフラインをはじめとした社会インフラを支えるシステムに対するサイバー攻撃は、サイバー空間での出来事が現実世界に影響を及ぼすことから『サイバー・フィジカル・アタック』と呼ばれています。サイバー・フィジカル・アタックは、もはや理論上のリスクではありません。世界中で発生している現実のリスクと捉える必要があります。


(1)ウクライナ大停電

2015年12月23日、ウクライナ西部において、複数の電力会社が保有する30の変電所がサイバー攻撃を受け、22万5,000世帯が数時間に渡って停電するという大規模な被害が発生しました。1年後の2016年12月17日、今度はウクライナの首都キエフで1時間に渡る大停電が発生しました。サイバー攻撃によって実際に停電が発生した、世界で初めての事例と言われているこのサイバー攻撃には、3つの特徴があります。


1. 攻撃者:ハッカー集団
このサイバー攻撃は、かねてよりその活動が注目されていたサイバー犯罪グループであるハッカー集団によるものと言われていますが、彼らの活動は、某国が後ろ盾になっていると見られています。

昨今では、このように国家が間接的にハッカー集団に資金提供をして敵対国を攻撃させたり、直接的にサイバー軍隊を組成してサイバー空間での戦争を仕掛けたりするケースが増加しています。そのため、民間の事業者がこうした攻撃を完全に防ぐことは極めて困難な時代になりつつあります。

2. 攻撃対象:発送電設備
この事例では、攻撃者が電力会社の発送電設備に侵入して不正な動作を引き起こしました。しかし、発送電設備で使われているシステムは、通常の情報システムとは異なる独自性の高い特殊なシステムで構築されています。そのため、その環境について十分な知識を持っていない限り攻撃することは困難であるはずです。

しかしながら、今回の攻撃には、標的となった電力会社が使用している発送電設備で有効に動作するようにカスタマイズされた『BlackEnergy』というマルウェアが使用されました。これは、例え独自に開発された特殊なシステムであっても、サイバー攻撃は成功し得ることを示しています。

3. 被害:サイバー・フィジカル・アタック
言うまでもなく、この事例ではサイバー攻撃を通じて現実社会が実害を被りました。サイバー攻撃がインターネットやウェブサイトなど仮想空間上だけで起こるものではなく、実際に目で見たり、身体で感じたりする形で被害を起こすものだと、世間が認識した代表的なケースと言えるでしょう。


(2)英国医療機関システムダウン

2017年5月12日、世界150ヵ国で被害をもたらしたと言われる大規模サイバー攻撃によって、英国の医療機関は甚大な被害を受けました。感染したシステムやそこに繋がるネットワーク上の電子ファイルをすべて暗号化し、身代金を支払わなければファイルを使用できなくする『WannaCry』と呼ばれるランサムウェアによる攻撃です。この攻撃によって、英国国民保健サービス(NHS)傘下の236のうち81の医療機関で患者の情報が確認できない、検査機器が使用できない、予約や会計処理ができないなどの問題が発生し、大変な混乱状態に陥りました。

WannaCryが悪用したのは、攻撃の数ヵ月前にメーカーから修正プログラムが公開されていたセキュリティ上の欠陥でした。この攻撃によって、医療機関など人命にかかわるシステムがセキュリティ管理が十分に施されていない状態でインターネットに接続され、世界中で利用されていることが明らかになったのです。


(3)トルコ石油パイプライン爆発

最後に、少し古い事例ですが、ライフラインを狙ったサイバー攻撃の代表例として、2008年にトルコで石油パイプラインが爆発したケースを紹介します。

この事例では、攻撃者はパイプラインの監視カメラに搭載された通信ソフトの脆弱性を悪用して、パイプラインを管理する内部ネットワークに侵入しています。プラント内の制御システムを不正に操作して石油の流量を異常に増加させ、パイプ内に過剰な圧力を生じさせました。さらに、異常動作を検知する警報装置に対しても攻撃を仕掛けて動作不能にしました。その結果、侵入やパイプラインの制御異常に気付くのが遅れて爆発してしまったのです。これは、セキュリティを強化するために設置された監視カメラが侵入され被害を被ったという皮肉な事例でもあります。

2.サイバーリスク環境のパラダイムシフト

ここまで紹介してきた事例には、3つの共通点があります。それらは、いずれもテクノロジーの進化やビジネス環境の変化に伴って生じたトレンドで、一昔前とは異なる性質を有しています。このことから、昨今のサイバーリスク環境にはパラダイムシフトが起きていることがわかります(図表1参照)。ところが、多くの企業ではこの脅威にまだ十分な対策が採られていません。

図表1 サイバーリスク環境のパラダイムシフト

図表1 サイバーリスク環境のパラダイムシフト

(1)IoTの普及と汎用化

従来、発電所や工場の生産設備、医療設備などは物理的に隔離されたネットワークで管理されていました。インターネットはもちろんのこと、組織内の情報システムからも独立した環境で運用されていたため、物理的な侵入以外に外部からの攻撃は事実上不可能な状態でした。

この状況は、IoTの普及により一変しました。発電所や生産設備はより効率的に運用するために情報系と、医療機器は即座に患者の情報を分析するためにクラウドと繋がっています。多くの設備や機器が、利便性や生産性の向上などを目的として、様々な形で他のネットワークと接続されているのです。ネットワークで繋がっている以上、そこが新たな侵入経路となってサイバー攻撃を受ける可能性は十分にあります。このことが、サイバーリスクを助長する要因となっています。

また、IoTの普及と相まって、これまで独自性の高い特殊な仕様で開発されてきた制御システムも、様々なネットワークやデバイスが相互に接続できるようにするために汎用化が進んでいます。これは、裏を返せば攻撃者が標的のシステムの仕様を容易に知り得ることになるということです。つまり、これもサイバーリスクの発生を助長する要因と言えます。


(2)サプライチェーンの多様化

技術革新やビジネス環境変化のスピードが速くなるにつれ、事業活動に必要なすべての機能を自社だけで構築することは困難になってきました。それに伴い、機密情報を取り扱うバックオフィス機能のクラウド化や生産設備の制御システム運用保守のアウトソースなどは、もはや一般的になっています。多国籍企業やインフラ事業者など、事業体が大きければ大きいほど、サプライヤー、ビジネスパートナー、外部委託先といったサプライチェーンにかかわる組織は多様化し、複雑化しています。

こうした環境では、自社だけがサイバー攻撃対策を実装していても十分とは言えません。サプライチェーンにかかわる組織を通じて情報が漏洩したり、セキュリティ欠陥のあるシステムが納品されたり、ビジネスパートナーのネットワーク経由で侵入されたりなどのサイバーリスクが増大する今、サプライチェーン全体での取組みが必要となります。


(3)攻撃のオーダーメイド化

ビジネスのIT化・ネットワーク依存度が高まるにつれ、サイバー攻撃によって企業が受ける被害は拡大しています。これは、攻撃者にとってはサイバー攻撃に投資することで得られる効果が増大していることを意味しています。結果的に、サイバー攻撃の大規模化と巧妙化の要因となっています。

従来は多くの企業に同じような攻撃を仕掛け、運よく侵入に成功した場合にさらに攻撃を続けるという場当たり的なものが主流でした。しかし、昨今のサイバー攻撃は特定企業の情報やシステムを最初から標的として、攻撃を成功させるために膨大な資金を投入しています。様々な手法でオーダーメイドされた攻撃を仕掛けることにより、サイバー攻撃の成功率は向上し、被害規模も拡大しています。

II.国を挙げたサイバー対策強化

1.政府による要請

国内外でのサイバー攻撃被害の発生とサイバーリスクの増大を受け、日本でも国を挙げてサイバーセキュリティ強化が推進されています。ここでは、代表的な取組みや指針について紹介します。


(1)NISC第4次行動計画

2017年4月18日、内閣サイバーセキュリティセンター(NISC)は、社会インフラや公共性の高いサービスの提供を担う13の業界を重要インフラと指定し(図表2参照)、それらの業界に属する事業者がセキュリティ対策を強化するための指針として『重要インフラの情報セキュリティ対策に係る第4次行動計画』を公表しました。

図表2 重要インフラ13分野

図表2 重要インフラ13分野

この行動計画は、1)安全基準等の整備・浸透、2)情報共有体制の強化、3)障害対応体制の強化、4)リスクマネジメント及び対処体制の整備、5)防護基盤の強化の5つの主要な活動指針で構成されています。昨今のサイバーリスク環境の変化と対応の難しさを踏まえれば、定期的なリスクアセスメントの実施やインシデント対応体制の整備については、特に重要な取組みであると言えます。


(2)経済産業省 サイバーセキュリティ経営ガイドライン

2017年11月16日、経済産業省は企業経営者が取り組むべきサイバーセキュリティ対策の指針として、『サイバーセキュリティ経営ガイドライン』を改訂、Ver2.0を公開しました。

このガイドラインでは、リスクマネジメントの一環として経営活動におけるサイバーセキュリティ管理の重要10項目を定義、それらを次の5つに分類して整理しています。

  1. サイバーセキュリティリスクの管理体制構築
  2. サイバーセキュリティリスクの特定と対策の実装
  3. インシデント発生に備えた体制構築
  4. サプライチェーンセキュリティ対策の推進
  5. ステークホルダーを含めた関係者とのコミュニケーションの推進


ここでの特徴は、企業が経営レベルでサイバーセキュリティ対策を推進する旗振り役としてサイバーセキュリティ担当役員(Chief Security Officer:以下「CISO」という)の設置を強く推奨している点です。企業は、CISOの統括下でサイバーセキュリティ管理活動をしっかりモニタリングしながら改善を重ねていくべきことが示されています。


(3)IPA産業サイバーセキュリティセンター

2017年4月1日、社会インフラに対して物理的なダメージを与えるサイバー・フィジカル・アタックのリスク増大を受けて、独立行政法人情報処理推進機構(IPA)は『産業サイバーセキュリティセンター(ICSCoE)』を発足させました。ICSCoEは、模擬プラントを用いた演習、攻撃防御の実践経験、最新のサイバー攻撃情報の調査・分析などを通じて、サイバーセキュリティリスクに対応する人材育成を中心とした、サイバーセキュリティ基盤の強化を目的としています。

重要インフラを提供する各業界の事業者は、同センターに受講生を派遣して、将来自社のサイバーセキュリティ強化の推進を担う人材を育成することができます。

2.主な業界の取組み

サイバーリスクの深刻化は、各業界におけるサイバーセキュリティの取組み強化を加速させています。ここではいくつかの業界を例にとって、その動向について紹介します。


(1)電力業界

本稿冒頭でも紹介したウクライナの大規模停電を受け、国内でも業界を挙げた活動が盛んになってきています。例えば、日本電気技術規格委員会は、2016年に電力自由化を見据えたガイドラインとして、スマートメーター及び電力制御システムに関するセキュリティガイドラインを策定、公表しました。

また、サイバー攻撃やシステムの脆弱性に関する情報やサイバーセキュリティ対策のベストプラクティスを電気事業者間で互いに共有する活動体として電力ISAC(Japan Electricity Information Sharing and Analysis Center)が新設され、情報の交換や共有が始まっています。

今後は、2020年の発送電分離に向けた電力システムの改革に合わせ、システムの新設・更改時には、設計時からセキュリティ要件の検討と組み込みを行うSecurity by Designに沿った取組みが一層重要となります。


(2)鉄道業界

鉄道業界では、鉄道事業者の特性を十分に意識した包括的な取組みが、日本に先行して米国公共交通協会(APTA)が発行したガイドラインに定義されています。このガイドラインには、サイバーセキュリティに対する検討手法や運用制御センター、信号、チケット販売などのシステムをゾーンとして分割し、ゾーンのセキュリティを確保することで、システムとデータを保護する方式が提示されています。

国内では、国土交通省が中心となってサイバーセキュリティ対策の強化が推進されています。同省では、NISCが策定した指針に基づき、『鉄道分野における情報セキュリティ確保に係る安全ガイドライン』を公開しています。このガイドラインでは、内部に侵入されることを前提とした、鉄道に係るシステムのセキュリティ対策の必要性と、PDCAに基づく対策の継続的改善が提示されています。

また、日本鉄道電気技術協会が事務局を務める業界活動には鉄道会社等22社1団体が参加し、情報共有やサイバー攻撃に対する分野横断的演習への参加を行っています。


(3)自動車業界

自動車業界はNISCによる重要インフラ業界の指定には入っていませんが、その産業規模とサイバー攻撃による影響が人命に及ぶことから、国内外でサイバーセキュリティ強化の取組みが活発になっています。

米国では、運輸省道路交通安全局(NHTSA)がサイバーセキュリティに関するベストプラクティスを、自動車技術会(SAE)が自動車のライフサイクル全体を通じた包括的なセキュリティガイドを公開しています。

欧州では、自動車工業会(ACEA)が自動車システムセキュリティの研究を進めており、ハードウェア・ソフトウェアのセキュリティ実装に関する具体案を提示しています。英国では、運輸省が自動車のサイバーセキュリティガイドラインを発表しています。

こうした動きを受け、日本ではNISCが自動車セキュリティに関する対策強化の検討を開始しました。また、民間では自動車産業主導で車載電子制御システムのセキュリティについて、大学、海外・国内団体と連携した調査や標準化の活動が始まっています。

III.サイバーセキュリティ経営の要諦

最後に、ここまで紹介してきたサイバーリスク環境と企業を取り巻く動向を踏まえて、企業経営者が取り組むべきサイバーセキュリティ経営について整理します(図表3参照)。

図表3 サイバーセキュリティ経営管理態勢イメージ

図表3 サイバーセキュリティ経営管理態勢イメージ

1.リーダーシップ

テクノロジーの進化に伴い、ライフラインや社会インフラを狙ったサイバー・フィジカル・アタックをはじめとしたサイバーリスクは、これからも増大していく可能性が高いでしょう。したがって、経営者はサイバーリスクを経営リスクマネジメントの一環として強く認識する必要があります。そして、ビジネス戦略と整合するサイバーセキュリティ方針に基づき、自社にCISOを任命し、サイバーセキュリティ態勢の維持強化のために適切な経営資源を投資する形でリーダーシップを発揮する必要があります。

そのためには、情報系システム部門と制御系システム部門の連携が重要となります。経営者は、この2つの組織が連携し合って相乗効果を出しながらサイバーセキュリティ対策を推進していけるよう、組織設計を含めた統制環境の構築を意識する必要があります。

2.サプライチェーンマネジメント

インターネットのみならず、ビッグデータ、AI、IoTといった技術革新やビジネスの多様化・国際化によって、子会社や海外拠点だけでなく、サプライヤー、ビジネスパートナー、顧客、消費者など様々な事業体や個人が組織のネットワークと繋がり、データを授受しています。これは、組織内部の取組みだけでは、サイバーリスクへの対応が充分であるとは言えないということです。

経営者は、こうしたリスクを現実のものと認識し、組織を取り巻くサプライチェーン全体のサイバーリスクを考慮して、適切に監督や統制していくことが求められます。

3.モニタリング

ビジネス環境は常に変化するのと同様に、サイバーリスク環境も常に変化し続けています。組織にとってサイバーセキュリティとは終わりのない取組みであり、PDCAサイクルを通じて改善を続けていくべきものです。

経営者はこうしたPDCAサイクルを適切に機能させるために、サイバーセキュリティ管理活動をモニタリングする必要があります。サイバーセキュリティ管理活動を可視化し、定量的・定性的にKPIを使用してモニタリングすることで、サイバーセキュリティへの投資や推進活動を評価することが可能となります。

加えて、経営者やCISOが意思決定を行うために必要な情報がタイムリーに得られる環境を整備することで、サイバーセキュリティ経営を推進し、さらには対外的な説明責任を果たすこともできるようになるでしょう。

執筆者

KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー
ディレクター 小川 真毅

お問合せ