【特集2】想定を超えるトラブルに備える 最重要インフラの防衛策
【関西電力 原子力発電所】
DXによる効率化には、常にサイバー攻撃のリスクが付きまとう。デジタル化とセキュリティー保持を表裏一体と捉え、迫りくる脅威に立ち向かう。
サイバー攻撃の高度化、巧妙化が深刻だ。関西電力は美浜発電所(福井県美浜町)、高浜発電所(同高浜町)、大飯発電所(同おおい町)において、サイバーセキュリティーの強化に注力している。
原子力発電所は、外部から電気通信回路を通じた不正アクセス行為を受けることがないよう、OT(制御系)システムへの外部アクセスを遮断するよう設計されているのが特徴だ。物理的・技術的・運用的対策を多層にし防衛策を講じることで、内部脅威によるサイバーテロを未然に防止している。
一方、サイバー攻撃の脅威は日々高まっており、従来の防護策で防ぎきれなかった場合も想定しておく必要がある。そこで同社では、インシデント対応手順の整備とサイバー攻撃対応訓練での実践を繰り返し実施していくことで、有事に備えている。
例えば、OTシステムが被害を受けた場合、最初からサイバー攻撃と気付くことはまれで、設備故障対応として調査を進める段階で判明するケースが大半だという。
「被害が広がる前に、いかに早く被害を疑い、気付くことができるかが大切。社内のCSIRT(コンピューターに関するセキュリティー事故対応チーム)要員はもとより、設備メーカーとの密な連携も求められます。訓練ではそうした事象を想定し取り組んでいます」。原子力発電部門セキュリティー管理グループの金広正彦マネジャーはこう話す。
原子力事業者は、原子力規制庁が定めた「原子力施設情報システムセキュリティー対策ガイドライン」に基づき、これまで自主的に情報システムセキュリティー対策の向上に取り組んできた。訓練もそうした取り組みの一環だ。
規制委の審査基準化に対応 さらに独自策を強化
今年3月には、原子力規制委員会で「原子力施設の情報システムセキュリティー対策に係る審査基準等の改正」が承認された。これまで推奨要件であったものが審査基準に格上げされ、セキュリティー強化が打ち出されたのだ。
関西電力ではこの対応に加え、独自の取り組みとして米国国立標準技術研究所が策定した重要インフラサイバーセキュリティーの枠組みを用いてマネジメントレベルを評価し、成熟度向上に取り組んでいる。国のマニュアルに従うだけでなく、さらなる独自策を打ち出すことが重要との考えだ。
