OTだけ、ITだけの対応では重要インフラのサイバーセキュリティリスクは防げない

――電力をはじめとする重要インフラへのサイバー攻撃のリスクが高まっている。

　重要インフラ全般を取り巻くサイバーセキュリティ対策は最優先事項の1つだ。近年は、サプライチェーン上にあるPCなどに感染し、データを暗号化し、その解除を引き替えに脅迫するランサムウェアが脅威のトレンドになっている。2023年には医療業界などで、さまざまな被害があった。ランサムウェアは、当事者だけでなく、委託先を感染させてしまったり、逆に委託先から感染してしまったりするリスクがあることに注意を払わなくてはならない。

写真：中部電力パワーグリッド システム部 総括グループ 副長の長谷川 弘幸 氏

　中部電力パワーグリッドは電力事業の根幹である送配電や託送を事業にしている。エネルギーインフラにおいてはサイバーセキュリティの脅威が事業活動に直結している。発電所から電気を届けるために管理している電柱や送電線などに影響が及ぶと、電気の利用者である企業や消費者の活動そのものに甚大な影響があるからだ。

　OT（Operational Technology）システムではなくIT（Information Technology）システムを狙った攻撃でも、OTシステムにまで影響が及ぶことがある。OTとITが連携していたり、仮に直接連携していなくても、日々の業務管理のオペレーションなどが含まれたりするためで、双方のセキュリティ対策が肝要だ。

――サイバーセキュリティ対策として中部電力パワーグリッドでは、どのような体制を採っているか。

　私の所属するチームはセキュリティ統括として、ITとOTの双方にまたがった役割を持っている。インシデント発生時は、セキュリティ部門が中心になり、会社全体としての方針を打ち出しながら、経営層や複数あるOT部門と調整を図って対策を打っていく。その際は持株会社である中部電力とも連携し事業会社と一体となって運営する。

　私自身はIT側で長く仕事をしてきた経験がある。今、OT側の担当者と議論するなかで感じるのは、OTの担当者は業務に対して具体的なイメージを持っており、それを実現するためにシステムを整備したいという思いを抱えていることだ。

　IT環境では、システムの開発・設計時から、アプリケーションの不備を突くSQLインジェクション攻撃など、開発に組み込める対策を実装し、OA（Office Automation）環境の脆弱性についてはパッチ適用などで対策を取っている。だがOT環境では、システムの可用性を重視するため、単純にパッチを適用できないこともある。

　それだけにOTシステムの開発時からセキュリティ担当者がしっかりと入り込み、課題について一緒に考えていくことが重要だ。そこでは、サイバーセキュリティを起因とした「できないこと」ではなく、セキュリティを極力維持したうえで「何ができるか」を優先して考えることが大切になる。セキュリティの観点で理想的な対策のみを考えてしまうと、OTシステムの運用としては実現困難になってしまうからだ。

　OTとITの連携では、単に技術的なギャップの理解だけでなく、互いの価値観を共有し、協力して対策を検討していくことが肝要である。そうした関係を促進するのがセキュリティ部門の役割だ。

――OTシステムは具体的に、どう管理しているのか。

　現在、OT側で持つ資産の管理を専用ツール「Tenable OT Security」（米Tenable製）を使って進めている。IPアドレスやソフトウェアに関する情報を基に資産の一覧を作成し、実状を可視化する。資産管理で感じたのは、当社が非常に多くの資産を抱えているということだ。設計書だけでは管理しにくいシステム構造もあり、そこにも管理対象があった。

　例えば、物理的なサーバーとしては1台だが、仮想ソフトウェアが複数動いていることで、IPアドレスとしての見え方は複数になっている場合がある。それぞれ業務上の利用目的が異なっている場合は別々に管理する必要がある。

　次のステップとして脆弱性の管理に取り組んでいる。ソフトウェアなどに日々現れる脆弱性を専用ツールで管理する。資産の可視化と合わせることで、セキュリティリスクの変動に応じた対策の優先順位付けなどの自動化を図り、対策とリスク管理のスピードを高めたい。

　具体的には、資産情報から、どの資産が、どんな脆弱性を持っているのかを把握したうえで、修正のためのパッチ適用を検討する。ただパッチ適用ではソフトウェアの構造が変わるため、機器の開発メーカーとともに動作保証を確認する必要がある。優先順位を考えながらもしパッチを適用できない場合は、どのようなリスク対策を取るべきかを資産や脆弱性の情報から判断できるようにしたい。

　これまでも脆弱性は管理してきた。ただ、その管理は設計書をベースに、OT部門と連携しながら手動で情報を照合していくという方法が中心だった。

――今後はさらに、どのような対策に取り組んでいくのか。

　資産情報の活用先として、被害把握の迅速化と復旧判断の支援に役立つと考えている。

　被害把握には、予防と有事の2つのケースがある。予防の観点では、脆弱性が出現した際のリスクの変化をどう読み解き、運用に組み込むかが重要だ。有事の観点では、システムに及ぼす影響を踏まえた具体的な手段が取れなければならない。いずれにおいても、OT部門とは、いっそう密な連携を取る必要がある。オープンな対話とリスクの共有が連携強化につながると考える。

　一方の復旧判断では、インシデントが発生した際の被害を極小化するための取り組みが重要になる。影響がどこまで出ており、どのポイントに問題点があり、障害部分を切り離した後にどの部分から復旧できるのか、対策が打てた部分は接続し直しても大丈夫かなどを判断しなければならない。そこに資産情報をさらに整理し活用していく。

　OTとITの管理は今後、それぞれに適した方法で取り組みたいと考えている。社内には、さまざまなシステムがあり、すべての対策をやり切るまでには長期に渡ると予想している。数年をかけてでも、できるだけ多くのシステム資産を管理できるようにしていく。

　脆弱性管理については、1つのシステムを対象に一連のサイクルを確立できれば、その横展開が可能になると考えている。セキュリティを統括するチームと、OT部門との連携が、ますます重要になる。資産管理と脆弱性管理の取り組みを進めることで、OTとITのそれぞれの考え方や協力体制がポジティブに変化していくだろう。