サイバー攻撃の脅威から重要インフラをどのように守るべきか？

重要インフラへのサイバー攻撃で想定される被害とは？

様々なデジタル技術があらゆる業界で活用される昨今、日本企業を狙ったサイバー攻撃が多く確認されています。とくに、重要インフラへのサイバー攻撃は、社会機能を麻痺させ市民生活にも大きな影響が出ることから、国家の安全保障に影響を及ぼしかねない問題となっています。

日本政府としても、国家を守るためにサイバーセキュリティの法規制を進めています。2015年1月より施行したサイバーセキュリティ基本法では、重要社会基盤事業者の責務として「自主的かつ積極的にサイバーセキュリティの確保に努める」とされています。さらには、2022年5月11日に経済安全保障推進法案を成立させ、重要インフラをサイバー攻撃から守る具体的な取り組みを始めました。この法案の中には、サイバー攻撃を含む外部からの脅威に対応するための重要インフラの安全性・信頼性の確保が含まれています。電気、ガス、水道など、私達の生活の基盤となっている14の対象分野で導入される重要設備に対して、サイバーセキュリティの状況などの事前審査が行われるようになります※。
※事前審査の対象となるのは、電気、ガス、石油、水道、電気通信、放送、郵便、金融、クレジットカード、鉄道、貨物自動車運送、外航貨物、航空、空港の14分野。これらの分野の企業が重要なシステムを導入する際、設備の概要や部品、維持・管理の取引先などの計画を、主務大臣に届け出ることが義務づけられます。

世界的に見ると、核燃料、電力、水道など、あらゆるインフラが過去サイバー攻撃によって物理的に破壊もしくは稼働不能の自体に陥っています。例を挙げると、2010年にイランの核燃料施設を狙ったマルウェア「Stuxnet（スタックスネット）」は、ウラン濃縮用遠心分離機を標的にしたもので、遠心分離機を制御するシステムがStuxnetによって乗っ取られ、約8400台の遠心分離機のすべてが使用不能となりました。（IPA 制御システム関連のサイバーインシデント事例４より）

インフラ・生産設備へのサイバー攻撃事例（“制御システムの情報セキュリティ～社会インフラや工場に対するサイバー攻撃の脅威と対策～（IPA,2019）”を基にトレンドマイクロが追記・作成）

これらのインフラへのサイバー攻撃が立て続けに行われている背景として、インフラのスマート化があります。昨今、デジタル技術を活用して生産性向上や安定稼働を実現する「スマートインフラ」の整備が進んでいます。一方で、スマート化に伴うネットワークの拡大、使用されるアプリケーションの増加は、サイバー攻撃の対象領域拡大を意味します。

トレンドマイクロではミラノ工科大学と共同で、スマート化した工場へのサイバー攻撃を擬似的に行う実験を過去に実施しています。この実験では、製造工程の実行管理を担っている制御システムのデータベースの改ざんに成功しています。

本実験では、データベース改ざんにより、本来想定していない場所にドリルで穴を開けることができた（左：改ざん前、右：改ざん後）

この実験では、制御システムの値を改ざんしてドリルの穴を開ける場所を変更しましたが、例えば水道のシステムの場合は中和のために用いられる薬品の濃度を変更するといったサイバー攻撃が可能になってしまいます。事実、2021年2月にはアメリカの水道局において、飲用水に含まれる水酸化ナトリウムの量が通常の約100倍に設定されるサイバー攻撃の被害に遭っています。（経済産業省　サイバーセキュリティに関連する海外の動きより）

インフラのスマート化において、システムやネットワークの構築には、インフラの管理者だけではなく、社内開発者や産業機器メーカー、SIerなど多くの人・企業が関わっています。このため、インフラのスマート化を進めるほど、使用されている機器やプログラムのソフトウェアサプライチェーンは複雑になり、サイバー攻撃の侵入経路も多様化する恐れがあります。適切なセキュリティ対策がとられていない取引先を踏み台として、インフラのシステムに侵入してくるサイバー攻撃なども想定して、対策を講じていくべきでしょう。

サイバー戦によって狙われるインフラの破壊

昨今、ハイブリッド戦争やマルチドメイン戦争といったサイバー戦なども組み合わせた軍事戦略が注目を集めています。これらの軍事戦略によりインフラへのサイバー攻撃も有事の際に見られるようになっています。2022年2月24日から攻撃が始まったロシアによるウクライナへの軍事侵攻においても、侵攻期間中に高圧変電所を制御する産業インフラシステムの遮断と停止を目的としたマルウェア攻撃が仕掛けられたとウクライナのコンピューター緊急対応チーム（CERT-UA）が発表しています。

また、当事国だけではなく、脅威は周辺国などにも広がります。2022年3月には、アメリカのバイデン大統領が、国内のインフラ事業者等に対して、ロシアが潜在的なサイバー攻撃の選択肢を模索しており警戒を呼びかける声明を発表しています。日本でも経済産業省や総務省などからサイバー攻撃のリスクが高まっているとして、インフラ事業者をはじめとする各企業・団体などに向けて注意喚起が発出されました。

バイデン大統領による国内の重要インフラ事業者への声明
（ホワイトハウス発表資料より）

当事国ではないとしても、例えば標的を絞らない広範囲へのサイバー攻撃であれば、流れ弾の被害に遭うパターンも想定されます。さらには、このような有事を隠れ蓑にしたサイバー犯罪も想定されるため、日本としても脅威が拡大していることを認識しておかなければなりません。

また、アジアにおける日本の周辺国も不安定な情勢が続いています。周辺国での有事の場合には、日本がハイブリッド戦争の標的となる可能性があり、日本のインフラがサイバー攻撃の対象となるおそれもあります。直近で日本を標的にしているサイバー攻撃者については以下のリンクで情報をまとめています。
日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと

ランサムウェアで操業停止に追い込まれるインフラも

ここまで述べてきたインフラを狙うサイバー攻撃の目的は「インフラの破壊・活動停止」ですが、昨今は「金銭的利益」を目的とするランサムウェアによる攻撃でも、インフラがストップするという被害が発生しています。ランサムウェア攻撃は、組織のネットワークに侵入して、内部のデータの暗号化を行ったり、事前に盗み取った情報の暴露を材料に、被害組織を脅す行為です。攻撃者にとっては、より多くの金銭を得られる攻撃対象であれば良いため、侵入できる可能性がある組織であれば、対象組織がどこであろうと攻撃を行います。結果的にインフラへの侵入が成功してしまえば、国家の安全保障を脅かすサイバーテロとなってしまうのです。

ランサムウェアによるインフラの被害では、アメリカの石油移送パイプライン大手のColonial Pipeline（コロニアル・パイプライン）の事例が記憶に新しいかと思います。2021年5月、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局（FMCSA）は、不足分を補うため18の州で緊急事態を宣言しました。日本でも、医療機関、自動車メーカー、交通インフラなど様々な業種の企業がすでにランサムウェアの被害を受けていると報道されています。

また、日本では取引先がランサムウェアに感染した影響を受ける事例が多発しています。トレンドマイクロの調査では、2021年に16の自治体・官公庁が、ランサムウェアの被害企業にデータ、システムを委託していたことを発表しています。この被害の中には、インフラの測量データの漏洩の可能性について言及しているものもありました。

2021年、ランサムウェアの被害企業にデータ、システムを委託していたことを公表した自治体・官公庁（トレンドマイクロ調べ）

2022年には取引先の部品メーカーがランサムウェアの被害を受けたことにより、国内の大手自動車メーカーが国内工場の稼働を停止せざるを得ない事態にもなっています。このように、自社が直接的に攻撃を受けていなくても、サプライチェーンを経由したかたちで、その脅威の影響を受けることがあるのです。

サプライチェーン全体でセキュリティレベルを上げていく対策を

ここまで述べてきたように、インフラへのサイバー攻撃は国民生活や安全保障に大きな被害を及ぼしかねない問題であり、国際情勢の不安定化やランサムウェア攻撃などにより、その脅威は増大を続けています。その中で、インフラ事業者やその取引先は早急に対策を進めていく必要があります。では、どのように対策を進めていけば良いのでしょうか。インフラ事業者、取引先それぞれの立場で必要となる対策を解説します。

インフラ事業者における対策

インフラ事業者において、サイバー攻撃のリスクへの対応をする前に、まずは自社が持つ資産について、どのようなリスクが存在するのかを調査して洗い出すリスクアセスメントに取り組む必要があります。そのインパクトに応じて、リスクへの対応方法が決まるためです。すでに、リスクアセスメントを実施しているインフラ事業者であっても、スマート化を進めていくのであれば、デジタル技術の採用に伴い発生するリスクの検討が新たに必要になります。

また、適切なセキュリティ対策がとられていない取引先からの侵入や取引先の被害による影響も想定されることから、リスクの検討はサプライチェーン全体で考えていくことが必要となります。サプライチェーン全体のセキュリティレベルを向上のためには、セキュリティの重要性を伝えるだけではなく、ガイドラインの作成やセキュリティの監査など具体的な対策も必要になってきます。さらには、サプライチェーンにおけるサイバーセキュリティの責務等を明確化していくことで体制の強化を図っていくべきでしょう。

具体的なリスクアセスメントの進め方については、内閣サイバーセキュリティセンターから手引書が公開されています。リスクアセスメントの考え方や具体的な作業手順に関するフレームワークが提供されているため、具体的な進め方がわからないといった事業者にとっては、一つの指針となるでしょう。

このリスクアセスメントの結果に基づき、リスクの許容度やリサースに合わせて優先順位を立ててサイバーセキュリティ対策を行っていきましょう。ここで想定される対策は、システムやソリューションの導入だけではありません。サイバー攻撃の被害を想定した訓練などを取り入れることで、万が一被害に遭ったときのレジリエンス（回復力・復旧力）を高めることができます。このような訓練は取引先などと連携して行うことで、より広範囲にレジリエンスを保つことができます。具体的な対策計画を立てる際には、NIST（米国国立標準技術研究所）の重要インフラのサイバーセキュリティを改善するためのフレームワークを参考にすることで、体系的に進めていくことができます。

取引先における対策

重要インフラのセキュリティ向上は、インフラ事業者のみのセキュリティ対策だけでは実現できません。インフラの取引先にも対策が求められます。まず、取引先企業には、サイバーセキュリティの重要性を理解していることをサプライチェーンへ示す責任が求められます。次に、自発的にセキュリティに対する取り組みについて透明性を持って発信していくことが必要となっていくでしょう。

「セキュリティレベル」が取引先の選定における重要な指標となってきているため、これらの取り組みを実施していかなければ、今後のビジネスチャンスが失われる可能性もあります。

セキュリティに対する取り組みは自社の製品やサービスの安全性だけに留まらず、セキュリティリスクの認識状況やインシデント対応能力なども含まれます。まずは、自社のセキュリティ担当者とコミュニケーションしながら、どういった取り組みを発信していくべきかを棚卸ししてみるとよいでしょう。

また、自社が再委託する立場の場合、取引先へのセキュリティ監査等を通じて、自社から派生するサプライチェーンのセキュリティレベルの状況を確認しておく必要もあります。自社の取引先でのサイバーインシデントによって、インフラの稼働に影響が出た場合、その説明責任が求められることもあります。経営層は取引先のサイバーインシデントが経営にも大きな影響が出る恐れがあることを認識して、積極的に取引先のセキュリティレベルの向上に努めるべきです。

まとめ

スマート化が進むインフラにおいて、サイバーセキュリティ対策は社会的責任の一要素と言えます。政府機関からもサイバーセキュリティ経営のガイドラインやリスクアセスメントの手引書などが公開されていますが、これらに対応しただけでセキュリティ対策は終わりではありません。増大、変容を続ける脅威に対してスピーディに対応していくためには、やはりインフラ事業者とその取引先が自律的にサイバーセキュリティ対策に取り組んでいくべきです。

組織全体でどういったリスクが存在するかの情報共有を行っていくためにも、必要に応じて他の関係主体との連携を進めていくことが重要になってきています。まずは自組織のセキュリティレベルを向上した上で、サプライチェーンにおける信頼維持のために透明性を持って発信を行っていきましょう。加えて、取引先に対する監査を通じて、自社から派生するサプライチェーンがサイバーセキュリティを確保できているかを確認しておく必要があります。この「自組織の安全性の担保と発信」と「他組織の安全性の確認」の両立によって、サプライチェーン全体のセキュリティレベル向上を実現することができます。