リスクベースのアプローチを通じて、サイバーセキュリティの課題を解き明かす: 電力・水道事業者向けエマソンのベストプラクティス

デジタルトランスフォーメーションは、電力や水道の業界にとって、良い面もあれば課題もある、まさに両刃の剣のような存在です。

一方で、情報技術（IT）と運用技術（OT）の融合、接続性の向上、大規模データへのアクセスの簡素化など、さまざまな技術革新によって、電力・水道事業者や自治体は運用の最適化や分散型エネルギー資源の安全管理、そして信頼性の高い低コストの電力やきれいな水の供給を、より効果的に行えるようになっています。  

ただし、電力・水道事業者がこれらの利点を活かそうと運用を変革していくと、サイバー攻撃や脅威に対してより脆弱になることもあります。特に、適切な方法や信頼できるパートナーがいない場合は、そのリスクがさらに大きくなってしまいます。

最近では、重要インフラを狙ったサイバー攻撃が増えてきています。 米国環境保護庁（EPA）は、地域の水道システムのセキュリティ対策を監査する必要性を強調する 覚書 を公表しました。また、産業用サイバーセキュリティのリーダーである  Dragos   は、エネルギー分野におけるサイバー攻撃の件数が引き続き増加していると 報告 しています。 

また、攻撃が増えるにつれてコストも高くなります。 実際、世界では年間のサイバー攻撃や脅威による損失が、 2023 年には 8 兆ドルに達すると予測されています。これは 2015 年の 3 兆ドルから大幅に増えており、2025 年にはさらに 10.5 兆ドル に達すると考えられています。

風力発電所や太陽光発電施設、マイクログリッドなどの分散型エネルギーリソース（DER）が、重要インフラを支える電力網に再生可能エネルギーを供給するようになると、ハッカーによって遠隔から電力の供給が妨害されるリスクもさらに高まります。  米国 エネルギー省 は 10 月の報告書で、分散型エネルギーリソース（DER）が「電力網に新たなサイバーセキュリティ上の課題をもたらす」と指摘し、セキュリティを「中核的な要素」として設計すべきだと述べています。

今日では、ハッカーはより賢く、洗練された手法を使い、多くの場合、ターゲットとなる企業よりも速く進化し、イノベーションを重ねています。こうした中で、企業はどのようにして身を守ることができるのでしょうか。

サイバーセキュリティに対するリスクベースのアプローチ

業界にかかわらず、リスクベースのアプローチを採用することで、潜在的な脆弱性を特定し、現在だけでなく将来にわたって自社を守ることができます。 リスクベースのアプローチは、 すべて の脅威から身を守ることを目指すわけではありません。潜在的な脆弱性を見つけ出し、それぞれの可能性や影響を考慮して、戦略的に判断していくことが重要です。

サイバーセキュリティの取り組みをさらに強化するにあたっては、次のような 実践方法を取り入れ、全体を見渡したうえで、常に進化し続けるアプローチを意識してみてください。

リスクを評価する。

リスクアセスメントを通じて、会社は重要な情報を手に入れ、リスクを事前に抑えることができるようになります。 アセスメントを実施することで、ネットワークセキュリティやデータ管理、境界防御など、重要なサイバーセキュリティ要素の準備状況を確認でき、システム全体のセキュリティ状況をより深く理解することができます。

システムへのアクセス権を制御する。

セキュリティ対策は手間がかかることもあり、つい最低限の対応で済ませたくなることもあります。しかし、攻撃者はそのような隙を必ず狙っています。 システムへのアクセスは厳格に管理しましょう。そのためには、従業員がセキュリティポリシーを意識し、リスクを常に評価し、社内で適切なセキュリティ文化を築くことが大切です。

強力な方針を確立する。

どんなに洗練された安全対策であっても、人のミスで台無しになってしまうことがあります。 だからこそ、従業員に強力な管理ポリシーを理解してもらい、自分で対応できる力を持たせることが大切です。そうすることで、ソーシャルエンジニアリングやフィッシングなどの攻撃によるリスクを減らすことができます。

制御システムをアップグレードする。

ダウンタイムはコストがかかるため、できるだけ避けるべきです。 適時にパッチやシステムのアップグレードを適用することで、ダウンタイムを最小限に抑えながら、保護されていないサーバーやワークステーションのリスクをなくすことができます。  

境界防御だけに頼らない。

攻撃者は境界防御があると考え、よく使われるプロトコルや既知のサービスポートを利用して制御システムに侵入しようとすることがあります。 標的型攻撃に備えるには、システムの境界をしっかり管理し、潜在的な侵入口を守る ことが重要です。カスタマイズできる柔軟なファイアウォールを導入し、常にセキュリティの隙間をチェックしていきましょう。

リモートアクセスは適切な人に限定する。

ほとんどの制御システムには何らかのリモート接続機能が備わっています。しかし、リモートアクセスが一般的だからといって、それが安全だというわけではありません。 リモートアクセスが欠かせないシステムでは、しっかりと監視しながら、安全に使えるように管理することが大切です。 複数の認証レイヤーを取り入れ、安全性を高めることをおすすめします。

制御システムを把握する。

リスクベースのサイバーセキュリティ対策を策定・導入した後も、リスクを常に監視し、潜在的な攻撃や脅威をできるだけ早く特定することが大切です。 サイバーセキュリティにおける アプローチは、常に進化し、変化に応じて柔軟に対応できることが大切です。

今の時代、電力会社や自治体の公共事業が競争力を維持し、革新を進めるためには、 デジタルトランスフォーメーション はもはや選択肢ではなく、必須の取り組みです。 リスクは伴うものの、それによって企業が得られるメリット、例えば、従業員間の協働やイノベーションの促進、画期的な業務改善などを諦める必要はありません。

さらに、絶えず変化するサイバーセキュリティの世界では、ここでご紹介した取り組みはあくまで出発点に過ぎません。 今日、電力会社や水道事業者は、業務の最適化とリスクベースの保護をさらに進めるために、業界トップクラスのサイバーセキュリティソリューションを自動化し、シームレスに統合しています。例えば、米国国土安全保障省により「指定済みかつ認定済みの対テロ技術（Qualified Anti-Terrorism Technology）」として認められた エマソンのOvation™ 制御システム がその一例です。

企業がサイバーセキュリティの取り組みのどの段階にあっても、改善や進化の余地は常にあり、次に起こりうる攻撃や脅威に備える機会があると認識しておくことが大切です。

攻撃を受けたことがないからといって、今後も受けないとは限りません。 今日この機会に、適切なアプローチを考え、信頼できるパートナーと一緒に取り組むことをおすすめします。 のちに、やっておいてよかったと思える日がきっと来ます。