「分散型エネルギーシステム」におけるサイバーレジリエンスの構築
DEG(分散型エネルギー発電)システムとインフラにおいて戦略的防御態勢を構築することで、サイバーセキュリティの脆弱性やサイバー脅威から人々や組織が保護されます。
トレンドマイクロの研究者は、ソフトウェアやハードウェアのセキュリティを評価するために、さまざまな分野を調査しています。過去には、艦艇の追跡に使用されるAIS(自動船舶識別装置)、石油およびガス産業に対する攻撃、無線リモートコントローラ、スマートホームなどに関連した調査を実施しています。
北米で最も頻繁に攻撃される産業の一つは、幅広い用途に対応可能なエネルギー産業です。そのため、新技術の導入により急速に変化している当産業のセキュリティ対策にトレンドマイクロは着目しています。
ソーラーパネルや風力タービンによる発電を利用したDEGシステムは、従来の電力系統を取り巻く環境の変化に伴い、家庭やオフィスにおいて普及が拡大しています。 しかし、他の重要なインフラネットワークと同様に、DEGシステムにもセキュリティ上の脆弱性が存在します。
トレンドマイクロの研究者は、現在導入されている技術が抱える課題を特定するため、またベンダー(製造元、販売供給元)に対する助言の内容を判断するために、特定のデバイスを対象とした「セキュリティに関するアセスメント」の実施を求めました。調査では、人気の高さから複数のソーラーデバイスを分析対象に選定しました。これらの中には、計5社(北米2社、欧州3社)の人気ベンダーによるデバイスが含まれます。なお、分析は、All Energy社との提携により実施されました。
調査対象となった項目は以下の通りです。
- 通信プロトコル
- ハードウェア
- ソフトウェアと通信における脆弱性
- UI(ユーザインタフェース)
調査過程において、以下六つのセキュリティ上の問題が判明しました。
- パスワードに関する問題
- LAN(ローカルエリアネットワーク)の信頼性
- リモートシャットダウン/コンフィギュレーション
- AP(アクセスポイント)のスキャン
- 安全ではないファームウェアのアップデート
- 安全でない通信
- データ主権
調査報告書では、DEGデバイスの通信モジュールとインバーターについて重大な懸念が示されています。また、その結果として、深刻なデータ漏洩やエネルギー供給の中断につながる可能性があることが判明しました。調査により、脆弱なパスワードの設定やパスワードが存在しないケース、リモートシャットダウン機能の有効化、ベンダーに連絡しなければ更新できないファームウェア、データ主権に関する懸念など、さまざまな問題点が浮き彫りになりました。
その一方で、ベンダーの多くがデバイスの安全性を確保するために、適切な対策を講じている点も明らかになりました。なお、トレンドマイクロは、オープンソースのサポートを実施しているベンダーに技術的支援を求めました。ベンダーによる支援の結果、特定の製品を詳しく分析することが可能となりました。
前述の脆弱性がもたらす影響は、単なる技術的な問題にとどまりません。これらの脆弱性は、安定した電力供給やエンドユーザのプライバシーに対する深刻なセキュリティリスクをもたらします。また、安全性の低いDEGシステムは、データ漏えいや電力供給の信頼性に対する懸念から、ソーラ発電の採用を思いとどまらせる可能性もあります。安全な通信プロトコルの整備やデータの保護措置を講じることは、技術的要件でもありますが、再生可能エネルギーに対するユーザの信頼を維持する上においても大変重要です。
より多くの人々や組織が家庭やビジネスの電力供給にDEGシステムを採用するなか、今回の調査がDEGシステムにおけるセキュリティ上の懸念を理解する助けになれば幸いです。調査の詳細については、こちらをご確認ください。
参考記事
Build Cyber Resilience with Distributed Energy Systems
By: Jon Clay
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)