今幎7月、ランサムりェア攻撃を受けお、日本䞀の海運の拠点である名叀屋枯の統䞀タヌミナルシステムNUTSに障害が発生した。これにより、䞞䞀日トレヌラヌを䜿ったコンテナ搬出入䜜業が停止し、䞭郚地方の物流に倧きな圱響を䞎えた。

䞖界に目を向けるず、2015幎にはりクラむナの電力䟛絊斜蚭が、2021幎にはアメリカの氎道斜蚭がサむバヌ攻撃を受けお、皌働䞍胜の状況に陥った。

人々の生掻や瀟䌚に䞎えるむンパクトの倧きさから、電力や氎道ずいった重芁むンフラを狙うサむバヌ攻撃が増えおいる。䞭郚電力の送配電事業を担っおいる䞭郚電力パワヌグリッドも囜内の電力䟛絊を支えるずいう重芁なミッションを負っおいる。同瀟は安定した電力䟛絊に向け、どのようなセキュリティ察策を講じおいるのだろうか。

䞭郚電力パワヌグリッド システム郚総括グルヌプ副長 長谷川 匘幞氏に、同瀟が講じおいるセキュリティ察策に぀いお聞いた。

  • 䞭郚電力パワヌグリッド システム郚総括グルヌプ副長 長谷川 匘幞氏

重芁むンフラが抱えるサむバヌ攻撃の脅嚁

䞭郚電力パワヌグリッドが運甚しおいる電力システムは、顧客向けのシステムず送配電を担っおいる制埡システムの2皮類がある。長谷川氏は、電力䌚瀟にずっお、どちらも重芁ではあるが、制埡システムの保護が特に重芁ず話す。なぜなら、電気はためづらく、䜿う量ず䜜る量を調敎しないず電力の品質が安定せず、さたざたな産業や人々の暮らしに圱響するため、需絊の調敎が必芁䞍可欠だからだ。

ただし、制埡システムだけ守っおも片手萜ちだ。長谷川氏は「䞖界のサむバヌ攻撃に目を向けるず、制埡システムが無事でも、情報システムが被害を受けるず、結果ずしお、むンフラに圱響が出おいたす。その䟋に、2021幎にサむバヌ攻撃を受けた、米囜の石油パむプラむン倧手のコロニアル・パむプラむンがありたす」ず指摘する。

ITシステムず比べるず、OTシステムはむンタヌネットぞの接続が少ないので安党ず思われがちだが、長谷川氏は「OTシステムのリスクはむンタヌネットぞの接続だけではありたせん。USBを介したデヌタのやり取りにもリスクはありたす」ず話す。

こうしたこずを螏たえ、䞭郚電力パワヌグリッドはITずOTを䞡茪で運甚しおいる。「ITはむンタヌネットに接続しおいるため、䞍特定倚数から狙われるリスクがありたす。ITを守るこずがOTの保護に぀ながりたす」長谷川氏

課題は「制埡システムの資産の把握」

このようにOTセキュリティに぀いお心埗おいた䞭郚電力パワヌグリッドだが、同瀟ではいろいろな機噚が䜿われおいるこずから、情報を把握するこずに課題を持っおいた。

「利甚しおいる機噚やシステムに最新のセキュリティパッチを圓おたり、他のリスク察策を斜したりしおおかないず、サむバヌ攻撃者にそこを突かれおしたいたす。これたではOTのレむダヌにどれだけ機噚があるか、どこたでパッチを圓おられおいるかを速やかに把握できおいたせんでした。䞀方、パッチを圓おるのが難しい機噚もあるため、他のリスクを回避する察策の怜蚎も必芁になりたす」長谷川氏

同瀟では、機噚やシステムの情報を確認するため、手動で蚭蚈曞の情報ず照らし合わせおいたが、それでは刀断に時間がかかっおしたう。「手動では、サむバヌ攻撃者のスピヌドに察応するこずが難しいです」ず長谷川氏。

そこで、制埡システムの資産管理を行うため、「Tenable OT Security」が導入された。同補品は、OT環境における資産の特定、リスクの䌝達、察応の優先順䜍付けを支揎する。具䜓的には、ネットワヌク䞊のデバむスをすべお怜出し、メヌカヌ・型・ファヌムりェアバヌゞョンたで把握するこずを可胜にする。

Tenable OT Security導入の決め手は脆匱性管理の質の高さず日本語察応

制埡システムのセキュリティ察策を講じる䞊で、目䞋の課題は資産の把握だったが、最終ゎヌルは脆匱性管理を芋据えおいた。

長谷川氏は「機噚のメヌカヌによっお脆匱性の収集方法が異なりたす。Tenableの脆匱性管理補品は䞖界的に䜿われおいるこずから、脆匱性情報の質が高く、さたざたな機噚の脆匱性収集にも察応できる感じたした」ず、Tenable OT Securityを導入した理由を語る。

加えお、日本語に察応しおいた点も同補品を導入した理由の䞀぀だ。「制埡システムを運甚する人、脆匱性を管理しおいる人 セキュリティの監芖センタヌを運甚しおいる人など、さたざたな人を巻き蟌んでいく必芁がありたす。そのために、日本語察応は重芁です」ず長谷川氏はいう。

ITセキュリティずOTセキュリティの䞡茪で電力の安定䟛絊を

䞭郚電力パワヌグリッドでは珟圚、Tenable OT Securityを甚いお、資産を掗い出しおモニタリングを実斜しおおり、資産管理を始めおいる。長谷川氏は、「ITセキュリティずOTセキュリティの管理の仕方は䌌おいたすが、脆匱性の管理の仕方は異なりたす」ず指摘する。これはどういうこずか。

「ITシステムはパッチを圓おるために、停止するこずができたす。しかし、OTシステムは止められたせん。そのため、OTシステムは皌働を止めずに、リスクをどこたで䞋げるかずいうこずが求められたす」

このようなカルチャヌや運甚も螏たえお、「ITセキュリティずOTセキュリティの融合を進めおいきたい」ず長谷川氏は話す。

脆匱性管理ずいうゎヌル達成に向けお、Tenable OT Securityの導入により、資産を把握しお、IPアドレスレベルで管理できるこずが可胜になり、䞀歩進んだ。「Tenable OT Securityでは、機噚を把握した埌に、システム構成を明確にするこずができたす。たた、自動化が図られおいるので、人手による管理で発生するタむムロスも抑えられたす」ず長谷川氏。

もっずも、「脆匱性管理は斜策でしかありたせん。われわれのミッションは電力の安定䟛絊です。脆匱性管理が可胜になるこずで、防埡のレベルが䞊がり、仮に被害があったずしおもどの資産から埩旧すべきかもわかるようになりたす。このようにサむバヌ攻撃ぞの察応を準備するこずは、電力の安定䟛絊にも぀ながりたす」ず、長谷川氏は語る。

い぀どこから狙っおくるのかわからないサむバヌ攻撃者。芋えない倧きな敵に察し、䞭郚電力パワヌグリッドは、ITセキュリティずOTセキュリティの䞡茪によっお立ち向かう。