サイバー攻撃に関する電力業界の特徴と考察

トレンドマイクロは、2022年に石油・ガス会社、製造業、電力会社における産業用サイバーセキュリティの状況に関する調査を実施しました。米国、ドイツ、日本の900人を超えるICSビジネスおよびセキュリティリーダーへの調査から得られた結果をさらに業界ごとに分析しました。この調査から見えてきた業界ごとの特色、今後サイバーセキュリティを改善していくための動機や環境要因について解説します。今回は電力業界を取り上げます。

製造業の解説はこちら
石油・ガス会社の解説はこちら

電力業界を取り巻く環境はこの10年で大きく変化しており、特にSDGsで持続可能なエネルギーを目指すことが採択されて以降、エネルギー業界のサプライチェーン、システム全体の見直しが国家規模で迫られています。電力の安定的な供給は、製造業や飲食業、電車などの交通機関、家庭など多くの産業と生活を支えています。電力供給の不安定さや停止による影響は他業界に比べて広範囲に及びます。
電力はその性質上、大量に安価に蓄電することができないため、需要と供給（生産）の一致が不可欠です。需要に合わせて供給を調整するため、DR(Demand Response)やVPP(Virtual Power Plant)のような仕組みを取り入れ、ICTの活用に積極的です。また発電・送電・配電システムのモダナイゼーション（デジタル化、ネットワーク接続、汎用ソフトウェアやITの活用など）も進んでおり、これらと同時にサイバーリスクも高まっています。
米国では他業界に先駆けて2014年にサイバーセキュリティ能力成熟度モデル(ES-C2M2)を発行し、自己評価手順として活用してきました。さらにNERCが大規模電力システム制御センター間の通信の保護にかかる新しい基準(CIP-012-1)を決定したのを発端に、新たなサプライチェーンリスク対策など続々とセキュリティ対策のガイドラインを業界に提示しています。
また欧州ではEU加盟国の間で電力を供給しあっていることもあり、セキュリティ脅威の高まりが1国のリスクではなく、エネルギー等の重要インフラ事業者にセキュリティ対策を義務化(NIS Directive)するなど、続々とセキュリティ対策が施行されています。ここではトレンドマイクロが実施したレポートからこのような電力業界に特有の傾向をレポートより抜粋してお伝えします。

1.1　サイバー攻撃による被害金額

サイバー攻撃による被害金額は石油・ガス会社と同等で年間$3,378K(Monetary loss due to interruption of ICS/OT system due to cyberattack in last 12 months)でした。これは製造業の1.8倍の金額です。またシステム停止時間もながく、停止期間が3日以上と回答した割合は56%で過半数を超えています。
前述の通り、電力は安く大量に蓄積しておくことができず、システム停止が長期化すると供給不足に至るリスクも高まります。また製造(生産)途中で止める事が難しく、インシデントが発生してもすぐに停止することができません。計画的な点検を実施するのにも数日~数ヵ月、場合によっては何年もの停止が必要になる場合があります。また電力が生活のインフラであることを考えると、電力業界としての被害金額以上に社会全体への大きな影響を及ぼす恐れがあります。

1.2　システム停止の原因

システムを停止させた原因の1番は「Exploitation of external published application or cloud service」で31.3％でした。2番目が「Compromise of internet accessible device」「Malware infection due to legitimate web browsing」で双方が29.7%でした。リムーバブルメディアの利用やフィッシングが起因の停止は他2業界に比べると最も低い結果となりました。

図表1. Q4_1 ~ Q4_7.あなたの組織は、次の種類のサイバー攻撃にどのように対処していますか? （注：複数選択可）

この結果はITエリアあるいはOTエリアで利用しているであろう、オフィス系の端末が侵入口となったことを示唆しています。IT化やセキュリティガイドラインの整備は他業種より進んでいるはずですが、セキュリティ対策はまだ十分とは言えないことがうかがえます。OT環境のモダナイゼーションに伴い、IT環境との相互接続が進んでいると思います。この時、個々に対策を実施するのではなくIT(メール、Web)環境への侵入した脅威がICS/OT環境にまで広がることを想定したうえで、ネットワークセグメンテーションや適切なアクセス管理、内部経路における異変の検知を行える仕組みが必要です。

1.3　システム改善に対する現状

次に組織がインシデント後にサイバーセキュリティを改善しているかどうか訊ねたところ、「We always/usually make improvements」と回答した割合は55％と半数強という結果でした。「We sometimes make improvements」と回答したのが43％でした。

図表2. Q10.過去 12 か月間の間、インシデント後、将来の攻撃リスクを最小限に抑えるために、あなたの組織はサイバーセキュリティを改善していますか? (N＝829)

電力システムは私たちの社会全体を支える最重要インフラの一つであることを考えると、「We always/usually make improvements」と回答した割合が過半数にとどまった結果を良しとするかは悩ましいところですが、電力システムにはIT環境とは異なる特有の課題があることも知っておくべきでしょう。その理由の1つは設備の稼働の課題を抱えている点にあります。発電システム（原子力、火力、水力）や送電設備は簡単に停止させることが難しく、計画的に行う必要があります。この停止の間は電気を蓄積できないため計画停止の時期や停止時間なども綿密に計算する必要があり、セキュリティのためだけにシステムに手を加えることが難しい状況といえます。
またそういった設備面の難しさに加え、電力供給の継続性を優先し、リスク（需要と供給のバランス、社会的不安）を許容している可能性もあります。といって被害に遭ってから対策をするという考えはリスクや脅威を十分に評価できていない可能性があります。特に今年2月から始まったロシアとウクライナの情勢はエネルギー業界に多種多様な影響を及ぼしています。(調査時点ではまだ始まっておらず調査結果には反映されていない)
このように社会と複雑に関わる業界でのセキュリティ対策は、念入りな検討と、慎重かつ短期間で導入効果を最大化する必要があります。

1.4　セキュリティ改善のドライバー

サイバーセキュリティ対策を実装する理由を「これまで^※」と「今後3年間」に分けてどのように変化したか、変化率が大きい項目に着目して分析しました。その結果、最も強いドライバーとなったのは「Because we implemented or plan to implement a cloud system」で3.2ポイント増加していました。これまで3位だった優先順位も1位に上昇しています。次いで「Because we implemented or plan to implement a private 5G system」が1.3ポイント増加して優先度が7位から4位に上昇しています。国ごとに見てみると、ドイツはクラウドの変化が顕著で10.7ポイントも上昇し、日本ではセキュリティインシデントへの対応と5Gへの計画が同じ4.7ポイントUPしており、USはパートナーやクライアントからの要求、5Gへの計画、ペネトレーションテストの結果を受けてがそれぞれ3.0ポイントずつ増加上昇していました。
※調査（2022年2月～3月）時点

図表3. Q19.これまで、あなたの組織のICS/OT システムを保護するためにサイバーセキュリティ対策を実装する理由の上位２つは何でしたか?（注：複数選択可）

図表4. Q20 .今後 3 年間で、あなたの組織のICS/OT システムを保護するためのサイバーセキュリティ対策を実装する理由の上位 2 つは、何だと考えますか。（注：複数選択可）

セキュリティ対策のドライバーが何かというのは他2業種と異なり、国によって傾向が異なる結果となりました。
ドイツがクラウドに意欲的なのは電力業界だけではなく、石油・ガス会社や製造業でも同様で、これは2016年ごろから検討・実装されてきた自立分散型の企業間データ連携の仕組み（GAIA-X）が2021年から本格的に活動しはじめたことや、ドイツ政府によりモバイル通信戦略、EU全体で進めるデジタル・ヨーロッパプログラムに対する投資などが背景にあると考えられる。
日本ではまだ電力業界に対する大々的な停電などのインシデントは報告されていませんが、重要インフラに対するサイバー攻撃は世界中で増えています。しかし電力含む日本のインフラ業界はセキュリティリスクに対する対策は整備が遅れており、リスク認識は低いという指摘した報道がされています。2022年10月の調査で877か所にサイバー攻撃の被害に遭うリスクが高いことがレポートされています。従来情報システムと電力制御システムはネットワークが分断されているためリスクは低いという認識がありましたが、2016年にウクライナでおこったサイバー攻撃による停電や、2019年にアメリカの一部の電力網がサイバー攻撃を受けていたことがNERCにより報告されるなど、電力制御システムと情報システムの統合が進む中、早急な対応が求められます。

トレンドマイクロの提案

これまでの調査とその分析をまとめます。
・電力業界はセキュリティインシデントによる停止期間が長く、結果的に、金額面での被害額も大きい。また電力停止による影響範囲は人々の生活を含む社会全体に及び非常に広い。
・過半数の企業がセキュリティ改善に継続的に取り組んでいるが、電力インフラの安全な運用が社会の安全へ大きく影響することを考えると十分とは言えない。改善のタイミングは限られるため効率的に計画、実施しなければならない。
・5Gやクラウドなど新しい技術導入に積極的な姿勢だが、その分関わる企業、製品が増え新たなアタックサーフェスの分析などセキュリティ管理の要項が増える事に注意しなければいけない。
・分断されていた制御系と情報系の統合が進むことでITツール、サービス、ベンダーが混在する複雑なシステムになる。環境全体のセキュリティリスクを可視化し、安全に運用するための対策を実施する必要がある。

トレンドマイクロはこの結果を受けて以下のように電力業界におけるサイバーセキュリティチャレンジを整理し取り組むことを提案します。
・重要なのは各システムで実際のアセスメントを行い、優先度の高いところから対策していくことだが、現状は主に次の2点が重要課題になる。
1．既設システムの脅威の侵入口を塞ぎ、リカバリ方法を確立する。BCPプランと合わせてセキュリティプランを立てることを推奨。予定されている計画停止を活用し、限られた期間、機会を最大限に活かす。
2．新設のシステムや5Gなど新しい技術の導入時にはセキュリティ対策を計画の段階から盛り込んだ形で実施。脅威やリスク分析を局所的ではなく包括的に実施する。またその運用中に動的に変化するリスクを可視化・対処し、インシデントを早期に検知し迅速に対応できる仕組みを構築することで、被害を最小限に抑える。
・そしてこれらの実現のために経営層の強いリーダーシップもって進める。

注
本調査で記載している「システム」とは産業用制御システム（ICS）とオペレーショナル・テクノロジー（OT）を表しています。ICSとOTは様々なタイプの制御システムと関連する計測器を表すために使用される総称で産業プロセスの運用および自動化に使用されるデバイス、システム、ネットワーク、および制御を含みます。よって調査中で記載している「システムの中断」が必ずしもプラント全体の停止、電力の供給停止を意味するものではありません。