Skip to main content Skip to Footer

HIGHLIGHTS


サイバー脅威が増大するなか、準備態勢について新たな教訓が必要

エネルギー事業者にとってサイバーセキュリティの侵害は「もし」ではなく「いつ」の問題

サイバーセキュリティに関して、北米の大手統合エネルギー事業者は極めて多くの課題を抱えています。インサイダー、ハッカー、組織犯罪、民族国家、テロリストなど様々な脅威者からの、ますます高度化するサイバー攻撃に絶え間なく直面しています。こうした脅威者たちはいずれも、エネルギー事業者のサイバー防衛網の弱点を狙っています。エネルギー事業者は、北米信頼度協議会(NERC)の重要インフラ保護基準(CIP)第5版(英語のみ) により、さらに強化された統合的な規制要件(2016年4月1日までに基準を満たすことが義務付けられている)にも取り組んでいます。同時に、エネルギー事業者は効率性と生産性を押し上げ、公共料金の納付者へのコミットメントを果たすため、情報テクノロジー(IT)とオペレーショナル・テクノロジー(OT)資産に対し、さらに自動化を取り入れたソリューションを導入しています。こうした統合がサイバー脅威の新しい攻撃対象を生み出し、拡大させています。

旧来の、アナログ的で連続した接続のオペレーション環境では、システムのサイバー攻撃のリスクは、はるかに低いものでしたが、以下のような接続性の高い現在の環境では、もはやそうとは言えません。

  • ITとOTシステムの統合が自動操業
  • エネルギー事業者のインフラ機器をサポートするため、遠隔地の第三者ベンダーがアクセスする必要がある
  • 消費者が電力使用状況から停電の復旧時間に至るまで、リアルタイムの情報を求めている
  • 労働力が、あらゆるモノと人の繋がりを期待しているミレニアル世代にシフトしている

とはいえ、複数の管轄にまたがる大手エネルギー事業者であっても、企業システムと業務システムの両方を侵害する攻撃が可能か否かを議論している企業はまだ多くありません。しかし、潜在的な問題の存在を認めることを拒んでも、その現実が無くなる訳ではありません。もし何かが起きた場合に、適切に対処する態勢が整っていないかもしれないということになるだけです。

現実的な話として、すべての脅威を軽減することは不可能であり、最新かつ最高のサイバー防衛テクノロジーの導入には、資本と運用の両面で非常に高いコストがかかる可能性があります。加えて、こうしたテクノロジーは常に効果的であるとは限りません。このような状況で、電力業界は新たな現実感覚を持つべきです。つまり、エネルギー事業者がある程度の侵害をまだ被っていないとすれば、いつかの時点で被害を受けることは免れないのです。

エネルギー事業者の企業リスク対脅威を理解し、悪意ある攻撃への対策を計画しておくことが極めて重要です。こうした考え方は、攻撃を受ける可能性が低い、またはあり得ないとさえされていた従来のアプローチとは大きく異なります。

テクノロジーの統合によって新たな課題と脆弱性が生まれる一方で、これを解決する手段も提供されます。例えば、高度なアナリティクスを活用することにより、エネルギー事業者が直面する大きなリスクに対処できるよう、ある時点で、管理可能でコスト効率が高い予測能力を備えることができるでしょう。しかし、業界はまだそこまで追いついていません。

脅威に備えるために絶対に確実な方法はありませんが、エネルギー事業者が今から対策を講じることは可能です。サイバー・インシデント管理計画を策定し、(社内と第三者の)初期対応者を定め、事業継続計画や災害時復旧計画と同じように定期的にテストする、これにより、サイバー態勢に関して他社を大きくリードすることになるでしょう。サイバー・インシデントを回避する単一のソリューションはありません。しかし、過去の侵害から、最も態勢の整った組織が最も迅速に復旧し、業務に重要な資産とデータを保護できることは明らかです。

アクセンチュア オペレーションズ マネージング・ディレクター、ジム・ギン2世は、世界各国のエネルギー、エネルギー事業、化学および鉱業セクターのお客様にソリューションを提供するアクセンチュアのリソース部門、サイバーセキュリティ・グループの統括者です。接続された世界で企業が必要とする複雑なサイバーセキュリティやプライバシーの管理の支援を担当しています。

"過去の侵害から、最も態勢の整った組織が最も迅速に復旧し、業務に重要な資産とデータを保護できることは明らかです。 "