石油・ガスのサプライチェーンにおけるサイバーセキュリティとは

石油・ガスは電力とともに国の社会基盤を支える必要不可欠なエネルギーインフラである。今回は、サイバー攻撃を受けた際の具体的な事業リスクについてサプライチェーン（供給連鎖）を踏まえて考察する。最初に、末端の需要家までどのように届けられるか、サプライチェーン全体の流れを押さえておこう。

石油供給ではまず、輸入した原油から国内22ヵ所ある製油所で石油製品を生産。続いて、それらの石油製品を直接または中継基地である油槽所のタンク約3000基を経由し、販売拠点である全国約3万ヵ所のサービスステーションまたは需要家にタンカーや鉄道、タンクローリーを使って供給する。

都市ガス供給ではまず、輸入した液化天然ガス（LNG）を国内37ヵ所の受け入れ基地のタンク約200基に貯蔵する。そのLNGを気化・熱量調整・付臭することで都市ガスを製造し、整圧器によりガス圧を調整し、ガスホルダーに貯蔵した後、約2700万件の需要家へガス導管またはローリー車、貨車によって供給する。

こうした石油・ガスのサプライチェーンがサイバー攻撃を受けた際に最優先すべきセキュリティの観点は、火災や爆発などの事故による作業員と近隣住民の人命に関わる安全性の確保である。さらに有害物質の漏洩などの健康や環境への影響も重要となる。
次に優先度が高いのは、エネルギー安定供給に関する可用性（継続的な安定稼働）の確保である。生産・製造に関するシステムがサイバー攻撃を受けた場合、タンクによる貯蔵や他拠点からの融通などによって、即座にエネルギー供給に影響する可能性は低いが、出荷・供給に関する制御システムが攻撃された場合、エネルギー供給に影響を与える可能性が高い。

エネルギー業界は2016年4月の電力小売り自由化、2017年4月の都市ガス小売り自由化により他業種からの参入、業界再編による企業統合が相次いでおり、業種間のボーダーレス化が進んでいる。サイバー攻撃に対抗するには、従来の業種の枠を超えて横断的に取り組む必要がある。
2016年の主要7ヵ国（G7）エネルギー相会合では、サイバーセキュリティがエネルギー供給確保を保証する上で重要な要素であると位置付けた。これには電力、ガス、石油も含まれる。日本でも政府主導で五輪・パラリンピックに向けて石油・ガス業界を含む重要インフラに対するサイバーセキュリティ強化を進めている。

• 機密性…製造にかかわる機密事項や顧客・取引先情報が社外に漏洩する
• 完全性…製造、出荷に関する情報が改ざんされる
• 可用性…原材料受け入れや製造・出荷システムの停止、品質問題の発生などにより出荷できなくなる
• 健康…有害物質が漏れ近隣住民や従業員に健康被害が生じる
• 安全性…可燃性物質が漏れ火災や爆発が起こる
• 環境…有害物質が漏れ環境被害が生じる

日経産業新聞　2019年5月14日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
シニアマネジャー　保坂 範和