デジタル変革に伴う電力業界の脅威と脆弱性

電力システムの脆弱性

電力業界は、物理的な脅威や国家レベルの洗練されたサイバー攻撃など、多様な脅威に常に晒されています。セキュリティ対策に注力してきたこの業界では、近年、電力システムの変化が見られています。運用技術（OT）と情報技術（IT）間の接続点が増えることで、これまで表面化してこなかった新たなサイバー脅威が浮上しています。

過去にトレンドマイクロが実施した調査「Critical Infrastructures Exposed and at Risk: Energy and Water Industries（エネルギーおよび水産業における危険に晒されている重要インフラ）」において重要インフラに対する脅威事例を紹介しました。この調査の目的は、オープンソースインテリジェンス（OSINT）技術を用いて、水産業やエネルギー部門の運用技術（OT）資産がいかに容易に悪用できるかを示すことでした。この調査により、攻撃者がヒューマンマシンインターフェース（HMI）^※に遠隔からアクセスし、顧客データを含むデータベースを閲覧し、タービンの起動と停止を制御できることが判明しました。
※HMI(Human Machine Interface)：システム管理者やオペレーターがシステム全体の状況を確認したり、制御したりするためのインターフェース。

電力システムへのサイバー攻撃について

図2は、電力システムにおけるアタックサーフェス（攻撃対象領域）、攻撃の流れ、そしてエネルギーシステムのITおよびOTにおけて最終的に発生し得る被害を示しています。
ITネットワークのアタックサーフェスの一例として、VPNの脆弱性を悪用するオフィス用PCがあります。攻撃者がVPNを通じて監視システムに侵入すると、権限を乗っ取り、HMIなどのOT資産に不正アクセスすることができます。さらに結果的にランサムウェアなどのマルウェアがインストールされる可能性もあります。
OTネットワークの典型的なアタックサーフェスは、メンテナンス用PCがあげられます。この端末がマルウェアに感染し、メンテナンス担当者がOTネットワークに接続すると、マルウェアがOTネットワークに侵入し、OT機器の操作停止などの問題を引き起こす恐れがあります。
これらのシステムを相互に保護するためには、IT、OT、さまざまな技術領域にわたるサイバーセキュリティ戦略の見直しが必要です。

電力システムへのリスクにどのように対処すべきか

ITやOTなど、異なる技術領域にまたがるセキュリティ戦略を見直す際、「人」、「プロセス」、「技術」という視点から課題を整理する必要があります。人的な課題の一例は、労働力不足とスキルギャップです。スキル不足の原因は、ITセキュリティ担当者が運用側を十分に理解していないことや、逆に運用側がITセキュリティ担当者を理解していないことなどがあげられます。これらの人材問題を解決するためには3つのアプローチがあります。

一つ目は、従業員のセキュリティ意識の向上とトレーニングです。管理職から従業員まで、セキュリティの重要性を認識し、協力して取り組む必要があります。二つ目は、IT部門とOT部門の業務を理解するために、ジョブローテーションや相互理解を促進するワークショップを推奨することです。三つ目は、インシデント対応の文書化と自動化です。ただし、自動化を目指す際は注意が必要です。まず不要なタスクを特定し、作業負荷を減らすことが重要です。その後、必要なタスクを自動化することをお勧めします。

また、「統一キルチェーン（Unified Kill Chain）」というサイバーキルチェーン®やMITREのATT&CK™などの既存のモデルを拡張・組み合わせ、サイバー攻撃の開始から完了に至る攻撃者のステップを示すことで必要なセキュリティ対策を把握する効果的なアプローチがあります。攻撃者はこれらの全ステップを成功させない限り、目的を達成できませんが、防御側はこの連鎖をどこかで断ち切る必要があり、それが防御戦略の指針となります。ITとOTにまたがる攻撃であっても、このアプローチを参考に予想される攻撃および現在のセキュリティ状況を評価することで、適切なセキュリティ対策を講じることが可能となります。

実際に企業側のセキュリティの現状はどうなのでしょうか？トレンドマイクロでは「電力システムのセキュリティ」というテーマでウェビナー（英語）を実施し、参加者にアンケート実施しました。詳細は割愛しますが、結果のポイントは以下の通りです。

・回答者の90％以上が、「ITとOTにわたる一貫したサイバーセキュリティが必要」と回答。うち、39％が何らかの行動を既に開始していると回答。
・OTサイバーセキュリティを考える上での課題は、上から多い順に「リスクと脅威の可視化とそのサイロ化の課題」、「レガシーシステムサポートの問題」、「OT/ITネットワーク、5Gなどネットワーク間をまたいだ攻撃への備え」、「人員不足と訓練不足」と回答。

ITネットワークでも上がってくる課題が多いですが、OTネットワークまで含めるとより課題としては大きなものになりますが、多数の企業が課題を認識し、取り組みを開始しているようです。本稿では調査から明らかになった電力業界の共通課題を紹介しました。ITとOTに対する一貫したセキュリティ対策の必要性を認識しつつ、その実施において困難に直面している電力事業界のサイバーセキュリティ責任者にとって、これらの情報が役立つことを願っています。トレンドマイクロもそのための支援を継続的に行っていきます。