伊勢志摩サミットを機にセキュリティ対策を強化した中部電力
中部電力株式会社(以下、中部電力)は、日本の中部地方一帯の電力インフラをほぼ一手に担う大規模社会インフラ業者として、事業の継続性に大きな社会的責務を負っている。そのため施設の安定稼働や安全管理などに関してはこれまで万全を期してきたが、同社 ITシステムセンター 総括G 課長 澤井志彦氏によれば、近年では情報セキュリティ対策も重要な取り組みとして認識されるようになっているという。
「2015年にウクライナでサイバー攻撃による大規模な停電が発生したことからも分かるように、近年では制御系システムやIoT機器など、かつてはサイバー攻撃のターゲットにならなかったものが攻撃者から狙われるようになりました。またサイバー犯罪が高度に組織化し、金銭目的や主義主張の誇示のために大規模な攻撃が行われるようになっています」
主義主張の誇示が目的の攻撃は、世界的なイベントを狙って行われることが多いため、2020年に東京オリンピック・パラリンピックを控える日本は今後、世界中から攻撃の的になるのではないかと危惧されている。ちなみに中部電力では、2016年5月に三重県で行われた伊勢志摩サミット(第42回先進国首脳会議)の際、地域一帯の電力インフラを担う事業者として、世界的イベントを狙うサイバー攻撃への対応を全社一丸となって行った。同社が現在運用している情報セキュリティ施策の多くは、このときの導入されたものだという。
澤井氏によれば、同社のセキュリティ対策は大きく分けて「体制作り」「現状評価」「インシデントレスポンス」の3つの柱で成り立っているという。
「セキュリティ対応というと、セキュリティ製品の導入を真っ先に思い浮かべる方が多いかもしれませんが、それ以前に体制作りをしっかり行っておくことが重要だと考えています。実際、伊勢志摩サミットへの対応でも、技術的な対応よりむしろ体制作りの方に注力しました」
かつてのセキュリティ対策は、PCやサーバといったIT機器だけを守っていればよかったが、現在のサイバー攻撃は前述のように発電所や変電所の制御システムなど、かつては情報セキュリティとまったく無縁だったものまでが攻撃のターゲットになっている。こうなると、社内のあらゆる業務にまたがって守るべき対象が散在するため、IT部門だけでカバーするのは年々難しくなってきている。そのため、「経営層がきちんとコミットして、全社体制を構築することが重要だ」と澤井氏は指摘する。
