◆リスク低減、電力業界も/ツールで「可視化」重要
◇小川真毅氏(KPMGコンサルティングディレクター・サイバーセキュリティアドバイザリー部門)
電力業界は、社会経済や人命を脅かす可能性を抱えた重要インフラ事業者である。運営を担う事業体はリスクマネジメントが必要で、組織体制やルール、人材、サプライチェーン管理のほか、システム面での対策も進めねばならない。NISC(内閣サイバーセキュリティセンター)は2020年を視野に、重要インフラ事業者が取り組むべき方策としてリスクアセスメントの実施とサイバー攻撃対応態勢の整備を2本柱に挙げている。
電力業界では自由化やスマートメーター導入を通じてシステムがオープン化し、そこを狙う攻撃のリスクも高まっているが、国際的な業界ベストプラクティスを参考に、国内でもガイドラインが策定されて対策の土台が出来つつある。これらを取捨選択しつつ、自社のリスクを低減する方針を検討していくべきだ。
サイバー攻撃が経営リスクという意識は、攻撃対象が制御システムに広がることで一層高まった。サイバーセキュリティー経営について、経済産業省のガイドラインは3つの原則を挙げている。経営層のリーダーシップ、サプライチェーン全体を含めた対策、必要な情報開示と関係者間連携のためのコミュニケーションだ。
経営者の目線で対策の効果や進捗を見極めるには、それらを分かりやすく示すツールも必要になる。例えば組織ガバナンス、リスク管理体制、インシデント対応態勢、テクノロジーの導入と運用、意識向上と教育、コンプライアンスといった6つの観点で構成されるフレームワークを設定し、個々の活動を評価する指標を定義して達成度を評価していく。
それらを分かりやすく可視化したければ、「ダッシュボード」が有効。経営者やCISO(最高情報セキュリティー責任者)、CSIRT責任者など、それぞれの関心に応じて見せ方を変える。可視化は課題を明確にし、対策を立てる上で重要だ。投資最適化に向けた第一歩となる。
最後に電力事業者に推奨する対策だが、国の施策や業界動向によって高まるサイバーセキュリティー施策への要求を踏まえ、まずはリスクアセスメントを進めてほしい。自社が抱える課題が見えてきたら、目標をポリシーとして設定し、それに基づいて手引きを整備してロードマップを進めていく。
こうした全体の流れとともに早期に取り組んでほしいのは3点。1つ目は本社とプラントの役割分担と責任範囲の明確化。それから人材の育成。3つ目がサプライチェーンを構成するベンダーや委託先との連携だ。
