日本国内の水道施設へのサイバー攻撃に対する防御策と課題

水道業界では取水量や配水量、水位、水質などの監視の効率化を目的に、ネットにつながる「産業用IoT」の活用が検討されている。これまで隔離された閉じた環境で使ってきた制御システムが、外部とつながるわけである。日本ではすでにこの分野のセキュリティ指針があるが、こうした状況を受け、今後リスクが増大する可能性が危惧されている。

政府もいち早く対応すべく、デジタルと実世界の両面から対策するCPS（サイバー・フィジカル・セキュリティ）の確立に動いているが、時間との闘いの様相を呈している。その上、水道法改正で管理や制度のあり方も大きく変化し、サイバーセキュリティ対応にも影響があると思われる。

現在動いている水道の制御システムはセキュリティの対応能力は心もとないと思われる。また、過去の導入時点で対策が考慮されたシステムが把握されているような統計も見当たらない。これから導入されるシステムはともかく、税金で導入した公共システムはコストと効率優先で構築され、セキュリティ要素が考慮されていない可能性がある。

さらに水道法改正に伴って運営の民間委託が加速すれば、官と民間でそれぞれのリスク対応を担うことから、管理態勢が複雑になる恐れもある。水道法改正の前から運用を外注化している自治体も多く、既に監査などで指摘を受けているケースもあると想像する。

入札の制度的な問題もある。コストとセキュリティ対策のバランスを提案内容から評価するにはこの分野の相応の知見が必要だが、きちんとしたセキュリティ評価ができなければ、コストを優先するあまり、不正侵入対策がウイルス対策ソフトだけになることも考えられる。その場合、未知のマルウエア（悪意あるソフト）やハッキングによる遠隔操作を防御できず、実効ある対策が打てない。

人々のHSE（健康・安全・環境）への影響が大きな制御システムはリスクを抑えるべく、構築・保守・運営委託を含めてじゅうぶんな事前準備とリスクアセスメント（評価）、国際標準を参照したシステム構築や運用管理がより重要である。そのためには、リスク管理の責任と権限を明らかにした体制整備、インシデント（事故につながる恐れのある事態）の兆候や発生の早期発見・分析の仕組み、レジリエンス（回復）実現の準備と事故対応の実現のための教育訓練などが欠かせない。課題山積であるが、1つ1つ確実に実現していくしかない。

日経産業新聞　2019年5月17日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
シニアマネジャー　木下 弦