国家安全保障の観点から防衛が必要な重要インフラに必要なセキュリティ対策とは

フォーティネットジャパンは4月10日、重要インフラの防衛に向けたサイバーセキュリティ関連法令改正の最新情報に関する説明会を開催した。

OTビジネス開発部部長佐々木弘志氏は、冒頭、次のように重要インフラの防衛の重要性について説明した。　

「サイバーセキュリティの位置づけが変わってきている。例えば、デジタル化、IoTの進展によって重要インフラにリスクが広がっているほか、サイバーフィジカル空間にも影響を与えるようになってきている。2022年から2023年にかけて、経済安全保障、能動的サイバー防御といった概念が出てきてた。日本もサイバー空間と安全保障を結び付けて考えなければいけなくなってきている」

フォーティネットジャパン OTビジネス開発部部長佐々木弘志氏

「サイバー事故調」とは

昨年12月、高圧ガス保安法、ガス事業法、電気事業法、情報処理の促進に関する法律が改正されたとともに、高圧ガス保安法、ガス事業法、電気事業法に基づく、認定高度保安実施事業者制度が施行された。

これを踏まえ、今回はエネルギー業界におけるOTセキュリティ関連法改正のポイントの解説が行われた。

エネルギー業界に関わるOTセキュリティ関連法改正のポイント

情報処理の促進に関する法律の改正では、サイバーセキュリティに関する重大な事案が生じた場合に、国が情報処理推進機構（IPA）に原因究明の調査を要請することができることが定められた。

調査を担当するのがIPA 調査分析部サイバーインシデント調査室で、「サイバー事故調」と呼ばれている。そのサイバー事故原因究明のフローは以下のようになっている。

IPA 調査分析部サイバーインシデント調査室によるサイバー事故原因究明のフロー

サイバーインシデント調査室の調査は、経済産業省から事業者に一定の報告を求めたのち、以下のように2段階で実施される。

書面調査

事業者からIPAに対し、事案詳細を記載した「インシデント調査報告書」を提出して、IPAがその内容を確認。

現地調査

書面調査により十分に原因の究明が図られなかった場合、現地調査（IPAによるログの収集および解析など）を実施

調査終了後は、IPAから経産省、事業者それぞれへ調査報告書を提出し、経産省は調査報告を踏まえ、再発防止策の検討を行う。

「サイバー事故調」と「認定制度」をどう考えるべきか

説明会には、OTセキュリティの第一人者である名古屋工業大学名誉教授、ものづくりDX研究所客員教授越島一郎氏がゲストとして登壇した。同氏は、経済産業省やIPAの制御システムサイバーセキュリティに関する活動にも有識者として広く参画している。

名古屋工業大学名誉教授、ものづくりDX研究所客員教授越島一郎氏

越島氏は、「今まで人間が見て回っていた部分にセンサーやドローンなどを使う形で省力化が進んでいる。これを進めるにはセキュリティ基盤を整備しなければいけない。また、人間が関わることでセキュリティの問題が出てきた。セキュリティ対策を講じるにあたっては人がポイントとなる」と語った。

先に挙げた認定高度保安実施事業者制度では、認定の基準に「サイバーセキュリティの確保」が新設された。この点について、越島氏は「対応できるOT関係のセキュリティ人材がどれだけいるか。人材を確保するとともに、利用するツールも検討する必要がある」との見解を示した。

さらに、越島氏は私見と前置きした上で、「サイバー事故調と認定制度を一体として考えたほうがいい。米国はセキュリティと安全を一緒に考える風潮が高まっている」との意見を述べた。

「サイバー事故調」にテクノロジーでどう対応できるか

佐々木氏は、現在のところサイバー事故調査について、政府やIPAは調査項目がわかっておらず、また、事業者は何を準備すればよいかわかっていないと指摘した。

こうした中、「ログを取って集約して時系列に並べれば何かがわかるはず」と、佐々木氏はサイバー事故調査の対応の指針を示した。

同社は現在、サイバー事故調査に必要な情報をワンストップで提供するためのソリューションを開発中だという。

フォーティネットが開発中のサイバー事故調ソリューションの概要

OTビジネス開発部マネージャー藤原健太氏は、OTセキュリティのやることは「平時の予防活動」「有事の事故対応」の2点と指摘した。「予防活動は技術である程度対応可能だが、事故対応はソリューションだけではカバーが難しい。事故対応としては、体制や運用ルールの整備など、人に重きを置いた対策が必要」と、同氏はOTセキュリティのポイントを述べた。