「OT」が狙われる電力事業のセキュリティの現況
長谷川氏は2015年から同社のサイバーセキュリティを担当している。2018年には1年間にわたるIPAの中核人材育成プログラムに参加し、同プログラムを修了してからは、より一層サイバーセキュリティ強化に取り組んでいる人物だ。
昨今、サイバー攻撃は増加の一途を辿っており、電力・ガス・エネルギーなど、基幹インフラを取り巻くセキュリティの状況は一層厳しくなっている。
「我々のような重要インフラ事業者がサイバー攻撃による被害を受けてしまうと、社会的に大きなインパクトを与えてしまいます。最近ではITに攻撃を受けたとしても、リスクを考慮してOT(制御システム)を停止して対応するケースがあったように、サイバーセキュリティ対策は『ITとOTの両輪』で考える必要があるでしょう」(長谷川氏)
また、DXの取り組みが進むことで、セキュリティへの向き合い方も変わってきているという。IoT機器やセンサー類のデータを活用するために、事業を続ける上で業務に使うシステムがネットワークに接続される機会が増えてきた。こうしたニーズは、DXやデータ活用の取り組みとあわせて今後より高まるであろう。このように、事業ニーズにあわせたセキュリティ対策も求められつつあると長谷川氏は指摘する。
中部電力パワーグリッドが掲げる2023~2027年の事業計画では、レジリエンス向上に向けた取り組みとして「サイバーセキュリティ対策の強化」が挙げられており、セキュリティ対策に投資をしている。攻撃を未然に防ぐための「防御・検知強化」、攻撃発生時の「対応力強化」、これらの対策を実現するための「組織・体制の強化」の3本柱で推進していくという。
最初の一歩は「資産の可視化」
防御・検知強化の取り組みでは、開発段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」の考えを取り入れること。これに加えて、制御システムを中心としたセキュリティ監視を強化していく計画だ。一方で、セキュリティ・バイ・デザインの実現において、“開発部門に入っていく”セキュリティ人材が不足しているとも長谷川氏は課題を挙げる。
「攻撃を受けたときの影響範囲を把握するために、まずはIT資産を可視化し、管理することを進めています。そのためのツールとして、Tenableの『Tenable OT Security』を導入しました。このソリューションは脆弱性管理も可能であるため、復旧対応力強化の大きな柱になると考えています」(長谷川氏)
また同社は、前述してきたセキュリティ施策を確実に実行していくためには“セキュリティ組織体制の強化”が必要だとして、人材育成における仕組みの構築やスキルアップなどにも注力しているという。
