電力業界が取り組む4つのサイバー攻撃対策とは
「公共機関のサイバー対策」第13回 - 電力業界のサイバー攻撃への取組みとして、ネットワークセキュリティ、委託先管理、監視体制構築、インシデント対応訓練を紹介する。
電力業界のサイバー攻撃への取組みとして、ネットワークセキュリティ、委託先管理、監視体制構築、インシデント対応訓練を紹介する。
サイバー攻撃を受けるとその地域の経済活動に大きな影響が及ぶ可能性がある電力業界。それを避けるためにはどんなことに取り組むべきなのだろうか。4つの対策について見ていく。
第1はネットワークセキュリティの強化だ。従来の電力システムは独自プロトコル(手順)または産業用プロトコルを採用し、かつ外部に接続しない閉鎖的なネットワーク環境であった。このためサイバー攻撃を受けるリスクは低かったと考えられる。
しかし、今後はデータ活用の観点からOA系システムや外部事業者との連係をにらんだ国際標準に基づくオープンな規格のネットワークの構築が進むと考えられる。それに伴い、攻撃を受けるリスクが高まることを想定し、多層防御を考慮したネットワークの設計、構築が重要となる。
第2に委託先の管理が挙げられる。米国で最近、他国企業が排除されているように、サプライチェーン(供給連鎖)のリスクが重視されている。これまで電力業界では公共的な使命感を共有する委託先企業と強固な関係を築くことで高度な技術の追求、迅速な保守を実現してきた。今後はデジタル技術の導入に伴い、様々な形態のサプライチェーンが形成されることが予想される。これまで以上に調達・品質基準の整備、委託先企業のセキュリティ対策をモニタリングする手法が重要となる。
第3に内部脅威を想定したインシデント(事故につながる恐れのある事態)監視体制の整備が挙げられる。この業界では閉鎖的なネットワークの構築に代表されるように、これまでは外部脅威への対策に重きが置かれていた。しかし、外部の脅威を完全に排除することは難しく、内部に侵入された後の対応力を高めることがより重要になってくる。そのため、制御システムと情報システムの垣根なく包括的なインシデント監視体制の構築と情報モラル向上に向けた教育が重要となる。
第4にインシデント対応訓練が挙げられる。第3で述べたインシデント監視体制の検証と現場担当へのセキュリティ脅威の意識付けをするのである。
電力業界はシステムの信頼性、安全性に対する意識が極めて高く、制御システムの設計思想にも色濃く反映されている。しかし、サイバー攻撃は悪意を持ってなされるため、これまで想定してきた脅威の枠から外れた事象も起こる。インシデント対応訓練はセキュリティ意識を高め、組織のセキュリティレベルの向上に寄与するであろう。
電力業界が今後取り組むべき対策
| セキュリティ対策 | 期待する効果 |
|---|---|
| ネットワークセキュリティ強化 | 多層防御による要塞化 |
| 委託先管理 | サプライチェーンリスクへの予防 |
| インシデント監視体制の構築 | インシデントへの迅速対応の向上 |
| インシデント対応訓練 | インシデント監視体制の検証 |
| セキュリティ脅威への意識付け |
日経産業新聞 2019年5月13日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
マネジャー 牛越 達也