第1回:伊勢志摩サミットとサイバーセキュリティ
対談者
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー
ディレクター 林 和洋(写真左)
中部電力株式会社 情報システム部
総括・企画グループ 澤井 志彦様(写真中央)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)
第1回:伊勢志摩サミットとサイバーセキュリティ
2016年5月26・27日、「G7 伊勢志摩サミット2016」(以下、伊勢志摩サミット)が開催されたことは記憶に新しいです。議長国として日本のホスピタリティをアピールした裏には、現実問題としての「リスク」と対峙(たいじ)する各種機関が存在します。開催地の電力を安全に供給し、電力面でわれわれを守る中部電力株式会社(以下、中部電力)もその一つです。
昨今、重要インフラをターゲットにしたサイバー攻撃が世界中で発生し、大きな被害が報告されています。一般企業が考えるセキュリティ対策以上に、リスクマネージメントが必要です。
中部電力は伊勢志摩サミット開催に備え、決して長くない準備期間に疑似サイバー攻撃を用いたレッドチーム演習や、そして経営層に向けてのトレーニングをPwCとともに実施してきました。本対談は中部電力にてサイバーセキュリティ対策の陣頭指揮を行った、情報システム部 総括・企画グループ副長の澤井 志彦氏を迎え、PwCテクニカルコンサルチームのディレクター 林 和洋と、レッドチーム演習を計画した上席研究員 神薗 雅紀を聞き手として対談を行いました。重要インフラ企業がサイバーセキュリティに対してどのような取り組みを行ってきたのか、その根底にある「DNA」と、今後の方向性について語った対談を、全3回でお送りします。
「サミットが管轄内で開催決定」‐そのとき中部電力では
PwC 林:
まず、中部電力様と今回の伊勢志摩サミットに関してお話をお伺いします。中部電力は、伊勢志摩サミットをどのようにとらえたのでしょうか。
中部電力 澤井様:
伊勢志摩サミットの首脳会議は、三重県伊勢志摩にて2016年5月に開催されました。これは中部電力の供給管轄内での開催です。これまでも中部電力の管轄内ではさまざまなイベントがあり、それに対する体制を取っていました。
しかし、今回の伊勢志摩サミットにおいては、「サイバーセキュリティ」が非常に注目されたイベントであったと思います。2008年北海道洞爺湖サミットでは、今ほどサイバー攻撃は注目されていなかったと思います。
中部電力の中でも、制御系システム、情報系システムの違いはなくなりつつありました。伊勢志摩サミットというビッグイベントもあり、開催の9カ月ほど前(2015年7月)から体制を取っていこうと、経営陣からのトップダウンでサイバーセキュリティ対策のプロジェクトがスタートしました。2015年12月に外部専門家の知見を取り入れようと、PwCにご相談したというのが経緯です。
PwC 林:
澤井さんが本格的にセキュリティにかかわったのは、この伊勢志摩サミットからだったのでしょうか?
中部電力 澤井様:
はい、なので「え?私ですか?」と思っていました(笑)。サイバーセキュリティというのは、頭のいい人たちが攻撃を考え、仕掛けてくるので、それに対抗するにはそれなりの「頭」が必要だと考えました。そのため、中部電力の人間だけでは難しく、外部の専門家に頼むべきだという意識は経営陣にもありました。PwCは名和さんが最高顧問ということもあり、お声がけさせていただきました。
インフラ企業における経営陣の「サイバー攻撃対策」意識は
PwC 林:
今回の伊勢志摩サミットで、中部電力様がサイバーセキュリティ対策に推進力を持って一気に進められた背景には、経営陣による強力なコミットがあったことが大きいのではないかと思いますが、いかがですか?
中部電力 澤井様:
まさにその通りです。中部電力では経営会議が毎週あります。サイバーセキュリティとは関係ないところでもこの話題が出ることもあり、意識が高いと感じます。
もちろん安定供給については、いわれずとも当たり前に万全を尽くすものですが、サイバーセキュリティについては初めてということもあり、経営陣も気を引き締めていたのだと思います。
PwC 林:
サミットまでわずか5カ月間、どのようなことをチームで取り組んでいたのでしょうか。
中部電力 澤井様:
その当時、私自身は制御系システムの細かな部分は知見がありませんでした。制御系の担当者は、ネットワーク的にはインターネットから遠いところにあるので、サイバー攻撃を思い描くことはこれまであまりなく、そのためか本当に攻撃が成立するのかと懐疑的に感じる人が多かったです。
その状況だったので、制御系、情報系の全てのシステムを理解して俯瞰できる“スーパーマン”に誰がなるのかといったら自分しかいない、それぐらいの気概で進めようと思いました。まずは、現場の方から制御系システムがどういうものかを教えてもらうことからスタートしました。
PwC 林:
制御系システムのチームと、情報系システムのチームとは別の会社みたいなものですよね。サイバーセキュリティをキーワードに情報システム部側から歩み寄り、横串で全てのシステムを見ていくというのは、電力会社として初めてではないでしょうか?
中部電力 澤井様:
電力会社では、セキュリティ対策を横串で議論するための会議体など体制整備はされていますが、やっぱり皆さん手探りでやっているという状況だと思います。
短い準備期間で、最大の効果を出す
PwC 林:
体制ができたのが2015年12月末ということは、サミット開催までは5カ月しかありません。その短い期間ですと、できることはそんなに多くないと思います。そこで、なにから始めようと考えたのでしょうか。
中部電力 澤井様:
おっしゃる通り、5カ月ではできることにも限界があります。やはり、まずは自社のリスクを把握し、サイバー攻撃が発生したときの「インシデントレスポンスの体制を整える」ことを中心に考えました。私どもの管轄する区域、伊勢志摩地方の安全を守らねばというDNA、国家的なイベントであるサミットの成功を支えるという社会的使命があります。
たまたまではありますが、2016年1月にウクライナの電力供給会社がサイバー攻撃を受け、停電が発生したという事件がありました。このような事例が海外でも出てくることで、弊社内の制御系に携わるメンバーにも「サイバー攻撃で電力供給が止まってしまう」と認識が進み、理解が浸透するという流れもできました。このおかげで、短い期間ながら多くのことができました。
PwC 神薗:
中部電力様ではこれまで、CSIRTと呼べるような組織は作られていたのでしょうか?
中部電力 澤井様:
IT系の世界では、セキュリティインシデントは日常茶飯事であるので、CSIRTに近い組織は作っていました。なにか事件・事故が起きたときに「これはサイバー攻撃かもしれない」と疑ってもらうことは重要です。電力設備においては、なにかが起きたときに“ウイルスが原因で止まりました”と明確に表示されるわけではありません。なにかがおかしいと思ったときに、設備故障の可能性と同じように「サイバー攻撃の可能性」を考えてもらう必要があります。
そのため、現場に対しては杞憂であったとしても、すぐに連絡をくれとお願いしました。そのような体制を取ることで、正しい対処を取ることができるようになります。
PwC 神薗:
「サイバー攻撃かもしれない」という選択肢を現場にも作ると、皆さんの意識もかなり変わるのではないでしょうか。
中部電力 澤井様:
経営トップの意識も大きいと思いますし、伊勢志摩サミットに向けて取り組みを進める中で、さまざまな演習、訓練も行いました。今回初めて行ったのは、制御系と情報系のつなぎ目の部分に関する訓練を行いました。制御系と情報系、それぞれ携わる人は、お互いのことをよく知らない、という状況でした。訓練をやることで、お互いの相互理解が深まったという効果もありました。
伊勢志摩サミットを狙うサイバー攻撃対策における「3つのステップ」
PwC 林:
今回、伊勢志摩サミット向けの対応として、大きく分けて3つくらいのステップで考えられたと思っています。
1つは現状の情報系システム、制御系システムにおけるリスクとはなにか、具体化しそうなサイバー脅威を認識するというステップ。2つ目はその認識をした前提で、現場としてどのような対応ができるかを決めるステップ。そして経営層の意志決定のため、経営層を演習で“巻き込んでいく”というステップです。
中部電力 澤井様:
2015年12月、本プロジェクトの最初のタイミングで、脅威シナリオ分析をPwCに行っていただきましたね。
PwC 林:
その脅威シナリオ分析を見ていただいて、どんな印象を持たれましたか?意外な内容、それとも想像通りの内容でしたでしょうか。
中部電力 澤井様:
脅威シナリオ分析を見た時点での印象は、私たちの予想通りといえば、そうだったかもしれません。情報系のネットワークに忍び込み、さらに制御系へ入り込むというシナリオはあり得ると思っていました。
しかし、その後2016年3月に開催したサイバー演習ではさまざまな発見がありました。脅威シナリオ分析は机上ベースでやっていくものだったので、資料を見て理解はしていました。しかし実際に演習をしてみると、実機上ではなにが起きているのかなど、思いも寄らない結果もありました。
PwC 神薗:
私が演習を作る上で、中部電力様にとってどこの情報が重要なものなのかを把握しつつ行いました。いろんなところに機微な情報がたくさんあり、それがさまざまな関連づけが行われていることが分かりました。それを踏まえたリスク評価に“やりがい”も感じますね。
重要なインフラを守る企業には蓄積があり、守るべきデータがたくさん存在するということを再認識しました。
中部電力 澤井様:
データが点在していることについては、私たちも課題意識を持っています。これはセキュリティ対策とは別で、施策を進めています。
準備期間の短さをどう考えるか
PwC 林:
例えばECサイトを運営している企業ならば、Webサイトの脆弱(ぜいじゃく)性を攻撃して、個人情報を盗みだすといったシンプルなシナリオが思いつきます。ところが電力会社であると、最終的に「電力供給を止める」といったサイバー攻撃のシナリオを考えなければなりません。
制御系システムへは、ネットワークはつながってはいるものの、直接は侵入できないクローズドな環境です。それを情報系システムやメンテナンス経路を利用し、攻撃者の思考に沿って攻撃シナリオを作ります。パズルのように組み合わせるため「本当にここまでできるのか?」という複雑なシナリオになります。
中部電力 澤井様:
伊勢志摩サミットが決まったのが1年前です。それまででもサイバー攻撃への対策は可能な限り実施はしてきました。
とはいえ、想定外のことがあってはいけません。あり得ないと思いつつも、それなりの対策が必要です。現場において何らかの方法を使い、直接侵入してくることは、経営層も気にしていました。例えば変電所のPCのウイルスチェックや、何らかの不審な操作が行われていないかのチェックを、1台1台しっかり行いました。
PwC 林:
すると、何千箇所という拠点を見直したということでしょうか。
中部電力 澤井様:
中部電力では変電所だけでも千箇所近くあります。伊勢志摩サミットに向けては、パターンマッチング型のウイルス対策に加え、未知マルウェアの脅威に対し、セキュリティアナリストによるチェックを行いました。全数は難しいので、供給ルートを考えて重要な変電所の250台程のパソコンを対象としました。当社グループ会社中電シーティーアイの、高度な知見を持ったセキュリティアナリスト数名が分析しましたが、それでも大変な作業でした。
※法人名、役職、対談の内容などは掲載当時のものです。
