石油・ガス業界におけるサイバーセキュリティの動向

2008年トルコで石油パイプライン爆発事故が起き、サイバー攻撃の可能性が指摘された。攻撃者はパイプラインの監視カメラに搭載された通信ソフトの脆弱性を悪用し、内部ネットワークに侵入。プラントの制御システムを不正操作しパイプ内に過剰な圧力を生じさせた。同時に、異常動作を検知する警報装置にも攻撃を加え、動作不能にした。その結果、侵入やパイプラインの制御異常に気付くのが遅れて爆発に至った。

2012年サウジアラビアの石油会社のワークステーション30万台が危険性の高いマルウエア（悪意あるソフト）「Shamoon（シャムーン）」に感染。製油工程が不正アクセスを受け、内部の主要ネットワークが1週間以上にわたって遮断された。

国内ではこのような攻撃例はまだ報告されていないが、USBや保守用パソコンからのマルウエア感染のような小規模な内部事例は発生していると考えられる。保安システムや安全計装システムにも同時攻撃が仕掛けられた場合、重大な事故につながる可能性もあり、実際に安全計装システムを狙ったマルウエア「Triton（トリトン）」も出現している。
具体的な対策にはまず、工場内の制御システムを中心としたネットワーク接続状況を正確に把握し、各資産のセキュリティ対策状況を調査することが最優先となる。そして、サイバーセキュリティに関する各業界のガイドラインや国際標準規格によりベースラインとなる対策を講じた上で、企業ごとに事業リスクを評価し、残存リスクに応じて追加対策する必要がある。

石油業界では石油連盟がセキュリティのガイドラインを策定している。先行する欧州石油メジャーでは、セキュリティ製品を調達する際の基準を定めており、石油プラントを世界規模で統括監視するSOC（セキュリティオペレーションセンター）を構築している企業もある。
ガス業界では日本ガス協会がセキュリティのガイドラインを策定している。2017年4月1日施行のガス事業法改正で、ガス事業者に作成と順守を課している保安規程に「製造・供給に関わる制御システムのサイバーセキュリティの確保」を追加した。こうした各種の基準、規制、事例などを踏まえ、組織にとって適切な対策を選択し導入することが欠かせない。

日経産業新聞　2019年5月15日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
シニアマネジャー　保坂 範和