対談者
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー
ディレクター 林 和洋(写真左)
中部電力株式会社 情報システム部
総括・企画グループ 澤井 志彦様(写真中央)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)
中部電力とPwCによる、伊勢志摩サミットをターゲットとしたサイバー攻撃に備える取り組み。会期終了後も姿勢は全く変わらず、「安全に、確実に電力を供給する——例えサイバー攻撃が起きたとしても」。
演習を通じ、中部電力にもたらされた思いとはなにか。最終回は伊勢志摩サミットの期間中に起きたことと、その後の取り組みを紹介する。
PwC 林:
2016年5月、伊勢志摩サミットの首脳会談がスタートすると、われわれも基本的には“待機”となり、現場でどのようなことが起きていたのかはなかなか見えませんでした。伊勢志摩サミットの期間中、大きなインシデントは発生したのでしょうか。
中部電力 澤井様:
伊勢志摩サミットを狙った“特有の攻撃”は、観測している範囲では起きませんでした。ランサムウエアなどのバラマキ型のマルウェアは日常と変わらず送られてきましたが。
PwC 神薗:
われわれも独自の研究機関と連携し、伊勢志摩サミット特有の異常な通信をチェックしていましたが、私たちの方でも大きなものは観測できていません。DDoS攻撃も、ダークネットからの攻撃も目立ったものはありませんでした。正直、もう少しなにかがあると思ってはいましたが。
中部電力 澤井様:
確かに、Webサイトに対するDDoS攻撃はかなり警戒していたのですが、幸いにも攻撃はありませんでした。とはいえ、今回の演習が無駄だったとは思っていません。安全に対する投資は、経営層も理解しています。今回のイベントをきっかけに、さまざまなレベルが格段に上がり、特に現場を含めた意識が向上したのが大きな成果だと経営層は認識しています。
PwC 林:
伊勢志摩サミット中に何も起きなかったことで、これらの投資を疑問視するような経営層の意見はあったのでしょうか。
中部電力 澤井様:
電力設備は、社会的影響が大きいので安全対策にはしっかりと取り組んでいます。リスクを回避するためには投資は必要です。
サイバー攻撃においても考え方は同じです。今回のサイバー攻撃対策への取り組みは電力設備の安全対策と同じです。われわれ現場に対して“よくやってくれた”というのが経営陣の意見でした。
PwC 林:
社内のセキュリティ管理体制は、今回の伊勢志摩サミットをきっかけに、情報システム系、制御システム系横断の組織連携も強化されました。現状のリスク認識もできたと思います。
ただ、伊勢志摩サミットへの準備時間が短かったがゆえにできなかったこともいっぱいあるのではないかと思います。今後推進しようとしている対策などはありますか?
中部電力 澤井様:
伊勢志摩サミットに向けては、準備期間が短かったこともあり、局所的な対策が中心となってしまいました。今後はもう少し範囲を拡げ、電力制御のさまざまな部分の対策を検討したいと考えています。
電力供給はいつ何時も必要な社会インフラなわけですが、今回、サイバー攻撃事象への初動体制として、中電シーティーアイSOCサービスが24時間365日サービス提供しているのが大きかったです。初動体制のベースがあったわけですから。
伊勢志摩サミットが終わっても、中部地域の皆さまに電力を安定的にお届けする使命は変わらないので、引き続き24時間365日の体制を強化していきます。
反省点もあります。パソコン1台1台に対するウイルスチェック、ポート閉塞などを強化したのですが、現場の方々の作業負担が非常に大きかったです。もう少し技術的対策などを強化して現場運用に配慮しないと、セキュリティ対策に関する作業が形骸化する可能性もあるわけです。ここを効率化しないといけないという意識が芽生えました。また、演習を通じ、もう少し「検知」「分析」技術を高度化したいという意識もありますね。
PwC 林:
効率化というお話がありましたが、ネットワークにしても既存のシステムに継ぎ足しで拡張する企業がほとんどです。拡張したシステムにおいては、セキュリティ対策を施さなくてはならないポイントが多く発生します。根本的なアーキテクチャ、セグメンテーションの方法などを見直し、セキュリティが効率良く実施できるインフラ作りが必要かもしれません。
中部電力 澤井様:
「制御と情報をつなげる」というとかっこよく聞こえますけれど、この融合はリスクを考えながら行う必要があります。そこをしっかりとセキュリティを考え、守るべきものを把握して戦略を立てなくてはなりません。
われわれは、社会インフラを安定的・継続的に提供することがビジネスの根幹であるので、サイバーセキュリティ対策も重要な取り組みの一つです。継続的なセキュリティの推進に関して、PwCに協力を仰ぎながら進めることができたのは、われわれにとっても“成功体験”でした。インシデントが発生したときに頼れるという体制はありませんでした。
PwC 林:
伊勢志摩サミットをきっかけに作られた中部電力様の今回の体制は、他の電力会社にとっても良い事例だったのではないでしょうか。他の電力会社から、そういったアプローチはありましたでしょうか。
中部電力 澤井様:
伊勢志摩サミットの他にも、関係閣僚会合が日本各地で開催されました。電力業界は横の連携も密で、セキュリティ分野も連携が行われています。
PwC 林:
電力会社の連携ということでは、電力の安定供給の中核を担う事業者が参画する組織として、「電力ISAC」の発足も予定されていますね。
中部電力 澤井様:
電力ISACは2017年に発足予定です。そこでは、新電力と呼ばれるような新規事業者も加わり「電力を守る」という名のもと、使命感を持って連携を深めていきます。そこでも、互助の精神でやっていきたいと思っています。
PwC 神薗:
海外ですと、現地のプラントや発電所のアセスメントが以前より活発に行われています。そこでこれまでよくあった事例としては、制御につながる端末や無線LANが脆弱であったことや、FM電波でコントロールしている制御機器のプロトコルを乗っ取られるということもありました。それを踏まえ、中部電力様のアセスメントをさせていただきました。
今後IoT機器が爆発的に増えることが想定されており、それらの分野の融合が進んでいくと、どうしても弱い部分ができてしまいます。それを踏まえ、どのようなロードマップを考えておりますでしょうか。
中部電力 澤井様:
私たちが想像できない場所に脆弱性が発見され、そこに向けて攻撃を仕掛けてくるということはあり得ます。海外の事例をチェックし、自分たちのシステムにも反映しなくてはなりません。
また、IoTに関しては、今後徐々に増えていくと思います。その前に、コンセプトをきっちり作ることが重要だと思っています。PwCの名和氏も「セキュリティ・バイ・デザイン」とおっしゃっていますが、それをどうやって仕組みとして作るかが課題になります。
確かに、伊勢志摩サミットに向け体制は作りました。ただしこれはインシデントレスポンスの体制が主でした。では、設備を入れる段階でどのようにセキュリティをデザインするかついてはまだまだ課題は山積しています。
PwC 林:
多くのシステムインテグレーターやメーカーは、“一式”というかたちで導入を行われると思います。その保守もずっとメーカーが行いますので、中身がよく分からないまま運用されるスタイルになりがちです。セキュリティを考えると、システムのオーナーとしての意識を高め、中の仕組みまで責任を持つ必要がありますね。
中部電力 澤井様:
システムは全てが同時に導入されるわけではなく、段階的に納入され、運用が行われます。その点はきっちりとガバナンスを効かせなくてはなりません。攻撃は、一番弱いところを狙いますから。
PwC 神薗:
通常の企業であれば、利用しているシステム、OS、アプリケーションを見て「あなたの業種はよくこの部分が狙われますから対処しましょう」という流れでアセスメントを行っています。しかし中部電力様のような重要インフラを担う企業は、“全てが狙われる”といっていいでしょう。クリティカルで、幅が広いという企業で、その対策は現場にとってもかなり大変なものだと思います。
中部電力 澤井様:
電力を安定的に供給するという使命感は、弊社のDNAでもあります。それがいままでは設備故障がメインでしたが、サイバー攻撃が加わったときの世界がどうなるかは、私もなかなか想像がつかないものでした。サイバー攻撃があっても電力供給を止めないということが、わが社の「新たなDNA」として、文化を作っていくべきだと考えています。
PwC 林:
そういった意識をどう作るべきでしょうか。
中部電力 澤井様:
成功した事例を見ると、たまたま現場でリーダーシップを取れる人材がいたからできた、ということもあるでしょう。属人的な部分もあるかもしれません。弊社も人事異動が頻繁に行われますが、CSIRTは有事の話なので、現所属関係なく知見を持った要員が集められる体制が必要でしょう。
そして社外の方との連携も重要だと思っています。われわれが一番恐れるのは標的型攻撃です。情報を集め、電力業界で連携し、組織間で連携して防御する態勢を作っていきたいと思います。
中部電力は、重要インフラを担う使命感があります。特に私たちは中部地域に根ざし、中部地域によって生かされている企業です。地元の皆さまに社会貢献できるよう、「中部地域のセキュリティは中部電力が守る」くらいの心意気で、今後もまい進したいと思います。
※法人名、役職、対談の内容などは掲載当時のものです。