第3回：伊勢志摩サミット後のセキュリティ対策

伊勢志摩サミット、期間中にサイバー攻撃は発生したのか？

中部電力 澤井様：

確かに、Webサイトに対するDDoS攻撃はかなり警戒していたのですが、幸いにも攻撃はありませんでした。とはいえ、今回の演習が無駄だったとは思っていません。安全に対する投資は、経営層も理解しています。今回のイベントをきっかけに、さまざまなレベルが格段に上がり、特に現場を含めた意識が向上したのが大きな成果だと経営層は認識しています。

PwC 林：

伊勢志摩サミット中に何も起きなかったことで、これらの投資を疑問視するような経営層の意見はあったのでしょうか。

中部電力 澤井様：

電力設備は、社会的影響が大きいので安全対策にはしっかりと取り組んでいます。リスクを回避するためには投資は必要です。

サイバー攻撃においても考え方は同じです。今回のサイバー攻撃対策への取り組みは電力設備の安全対策と同じです。われわれ現場に対して“よくやってくれた”というのが経営陣の意見でした。
 

中部地域の電力は、中部電力が守る——例えそれがサイバー攻撃であったとしても

中部電力 澤井様：

私たちが想像できない場所に脆弱性が発見され、そこに向けて攻撃を仕掛けてくるということはあり得ます。海外の事例をチェックし、自分たちのシステムにも反映しなくてはなりません。

また、IoTに関しては、今後徐々に増えていくと思います。その前に、コンセプトをきっちり作ることが重要だと思っています。PwCの名和氏も「セキュリティ・バイ・デザイン」とおっしゃっていますが、それをどうやって仕組みとして作るかが課題になります。

確かに、伊勢志摩サミットに向け体制は作りました。ただしこれはインシデントレスポンスの体制が主でした。では、設備を入れる段階でどのようにセキュリティをデザインするかついてはまだまだ課題は山積しています。

PwC 林：

多くのシステムインテグレーターやメーカーは、“一式”というかたちで導入を行われると思います。その保守もずっとメーカーが行いますので、中身がよく分からないまま運用されるスタイルになりがちです。セキュリティを考えると、システムのオーナーとしての意識を高め、中の仕組みまで責任を持つ必要がありますね。

中部電力 澤井様：

システムは全てが同時に導入されるわけではなく、段階的に納入され、運用が行われます。その点はきっちりとガバナンスを効かせなくてはなりません。攻撃は、一番弱いところを狙いますから。

PwC 神薗：

通常の企業であれば、利用しているシステム、OS、アプリケーションを見て「あなたの業種はよくこの部分が狙われますから対処しましょう」という流れでアセスメントを行っています。しかし中部電力様のような重要インフラを担う企業は、“全てが狙われる”といっていいでしょう。クリティカルで、幅が広いという企業で、その対策は現場にとってもかなり大変なものだと思います。

中部電力 澤井様：

電力を安定的に供給するという使命感は、弊社のDNAでもあります。それがいままでは設備故障がメインでしたが、サイバー攻撃が加わったときの世界がどうなるかは、私もなかなか想像がつかないものでした。サイバー攻撃があっても電力供給を止めないということが、わが社の「新たなDNA」として、文化を作っていくべきだと考えています。

PwC 林：

そういった意識をどう作るべきでしょうか。

中部電力 澤井様：

成功した事例を見ると、たまたま現場でリーダーシップを取れる人材がいたからできた、ということもあるでしょう。属人的な部分もあるかもしれません。弊社も人事異動が頻繁に行われますが、CSIRTは有事の話なので、現所属関係なく知見を持った要員が集められる体制が必要でしょう。

そして社外の方との連携も重要だと思っています。われわれが一番恐れるのは標的型攻撃です。情報を集め、電力業界で連携し、組織間で連携して防御する態勢を作っていきたいと思います。

中部電力は、重要インフラを担う使命感があります。特に私たちは中部地域に根ざし、中部地域によって生かされている企業です。地元の皆さまに社会貢献できるよう、「中部地域のセキュリティは中部電力が守る」くらいの心意気で、今後もまい進したいと思います。

※法人名、役職、対談の内容などは掲載当時のものです。