発電所や工場をサイバー攻撃から守れ、必要なのはOTとITの融和、経営陣の理解:IoT/制御システムセキュリテイセミナー(2/3 ページ)
MONOistとスマートジャパンが「IoT/制御システムセキュリテイセミナー」を開催。ネットワーク接続が当たり前になりIoTの利活用が進む中で、発電所などの重要インフラや工場などの産業制御システムセキュリティにどのような課題があるか、どのような対策が取り得るかについて、講演やセッションを通じて紹介した。
中部電力「セキュリティにコストがかかる以上、経営層の理解が不可欠」
特別講演では、中部電力 ITシステムセンター 総括グループの澤井志彦氏と鈴木康人氏が登壇。「ITとOTの交差点、そこにあるサイバーリスク 中部電力はどう向き合っているのか」をテーマに、中部電力が進めているセキュリティ対策の事例について紹介した。
近年、電力会社へのサイバー攻撃がクローズアップされるようになってきた。その対策として中部電力では、リスクアセスメントやSOC(Security Operation Center)/CSIRT(Computer Security Incident Response Team)の運用、自社内で攻撃/防御チームに分けたレッドチーム演習を重ねるなど、堅牢化を進めている。
澤井氏は中部電力のICT戦略を担当しておりCSIRTも務める。2016年5月に三重県志摩市で開催された「伊勢志摩サミット」では、サイバー攻撃に対応するインシデントレスポンス体制構築に携わるなどの経験も持つ。鈴木氏は、セキュリティ実装の担当であり、IPA(情報処理推進機構)産業サイバーセキュリティセンターの中核人財育成プログラムなどで専門知識を身に付けた。
中部電力のセキュリティ対策の全体像を見ると、技術的な対応策と並行して、経営層関与の体制構築を重要視した取り組みを進めている。これは「『セキュリティはコストだ』とよく言われるが、実際にさまざまなソフトウェアや機器を導入するには投資が必要になる。そのためには経営層の理解が不可欠であり、それがないと対策が進まない」(澤井氏)からだ。電力会社の場合、制御系システムがターゲットとなるケースが多く、情報系システムだけでなく、制御系システム担当者も巻き込んだ取り組みを行う必要がある。そのためにも経営層の理解を得ておくメリットは大きい。
こうして全社的な体制が固まると次に、現状評価に移る。サイバー攻撃を全て防御することは難しいため、現状の防御レベルの可視化を行い、その上で、技術的対策を進める。そして、最も重要なことがセキュリティ事故への対策であり、澤井氏は「実際に事故が起こったときの場合を想定した体制を構築することが必要だ」と指摘した。
同社の体制としては、各部門を束ねるようなマネジメント体制をIT部門に設けている。経営層のコミットメントを得て、各部門へ対策を促し、最新の情報を収集する。また、社内外の状況把握などを行い、各情報が1カ所に集まる形とした。リスクアセスメントおよび実機を使ったサイバー攻撃テストなども実施している。
インシデント対処としては、SOC/CSIRTを設けている。このポイントとしては、「セキュリティ事故は起こる」ということをトップに認識してもらうことが前提となる。その上で、インシデント対応のルールを極力既存の体制/運用に織り込み、IT環境の理解、監視箇所を見極め、訓練の実施などに取り組む。
さらに、インシデント発生時に、情報収集からフォレンジック、各システムのデータ確認、経営層への報告や判断、社内の他部門との調整、社外との連携などを同時に進行するための連絡体制を整えている。
この他、官庁/警察、電力ISAC(Japan Electricity Information Sharing and Analysis Center)、FIRST(Forum of Incident Response and Security Teams)、日本シーサート協会、大学/外部専門家などとの社外連携も普段から進めているという。
Copyright © ITmedia, Inc. All Rights Reserved.