サイバーセキュリティ

スマートグリッドにおけるサイバーセキュリティの徹底解析！─後編─

─主なサイバーセキュリティの脅威と11のセキュリティ課題─

2013/05/01

(水)

◆現在懸念されているセキュリティ課題⑨
情報通信基盤の領域（情報通信網）

図5で、3つの太く赤い○印で示している情報通信基盤の領域（情報通信網）は、オープンな通信環境である。このため、次に挙げるようなセキュリティ上の課題に留意する必要がある。

図5 情報通信基盤の領域（情報通信網）

〔出所　CDI作成〕

〔1〕通信ネットワークの脆弱性

これまで解説してきた制御システムは、AMI（スマートメーター通信基盤）などのように、クローズドネットワーク（閉域網）の中に存在していたが、スマートグリッドの一部のシステムおよび機器は、インターネットなどのオープンなネットワークに接続される可能性が高くなる。このため、DDos攻撃やなりすまし、不正なDNS書き換え、ルーティング（経路）情報の書き換えなどの脅威に遭いやすくなる。

〔2〕電力線通信^注9における常時接続性

家庭で家電機器などに電力を供給するために配線され、常時接続されている電力線上に、電力使用量を示す情報信号を乗せている場合に、この情報信号を通じた攻撃や障害が発生する可能性がある。その場合、電力線が家電機器等に電力を供給していることもあるため、物理的に情報信号だけを遮断することが困難になる。

◆現在懸念されているセキュリティ課題⑩
サービス提供事業者の領域（クラウドデータセンター）

図6に、サービス提供事業者の領域の例を示すが、ここで家庭の電力使用量のデータなどを管理するクラウドデータセンター（サーバ）における留意点を見てみよう。

図6 サービス提供事業者の領域（クラウドデータセンター）

〔出所　CDI作成〕

〔1〕収集された検針データのアクセス管理

双方向通信によって、スマートメーターで検針された電力使用量のデータが、コンセントレータ^注10を経由して、電力会社のサーバシステム（クラウドデータセンター）に集約される場合、そこに集約された検針データに対するアクセス管理がされなければならない。

〔2〕プライバシー情報の取り扱い

使用者のデータに関する利用目的、保存および破棄などに関する取り扱いについての取り決めを、サービス提供事業者との間でする必要がある。

◆現在懸念されているセキュリティ課題⑪
電力供給事業者の領域（IPP／新電力、発電所）

図7に、電力供給事業者の領域の例として、既存の発電所（火力・水力・原子力）と太陽熱や風力などの再生可能エネルギーによる発電所、IPP（卸電力事業者）^注11や新電力（PPS）^注12などを示す。ここでは、これら電力供給事業者領域における留意点を見てみよう。

図7 電力供給事業者の領域（IPP／新電力、発電所）

〔出所　CDI作成〕

〔1〕脆弱性を利用した不正侵入

電力供給事業者において活用されているIT関連機器をアップデートあるいは保守するタイミングで、ソフトウェアの脆弱性を利用した不正侵入が行われないよう、脆弱性対策を万全にしなければならない。

〔2〕通信経路に対する虚偽情報の意図的な流布

インターネットからのアクセスが可能な領域において、なりすましメールや、Web の不正な書き込みなどによる虚偽情報が流布され、それを確認した担当者が制御などを誤作動させる恐れがある。

〔3〕意図的な大量アクセスによるサービス不能化

インターネットからアクセス可能な領域において、特定の機能に大量にアクセスがされる（前述したDDoS攻撃）ことによって、その処理のためにリソースが取られてしまい、本来の機能が十分に発揮されない恐れがある。

〔4〕特定設備（機器）を制御するソフトウェアを狙ったマルウェア感染

クローズなネットワーク環境の下で運用されている特定設備（機器）を制御するソフトウェアがマルウェアに感染し、特定設備（機器）が正常な動作をしない、あるいは想定しない動作をする恐れがある。

国内では、経済産業省の「制御システム検討タスクフォース」において、国内インフラ等に対する情報セキュリティ対策の強化が検討され、2012年6月1日に「制御システム検討タスクフォース報告書中間とりまとめ」が公開されている^注13。

米国には、国土安全保障省内に、産業用制御システムのセキュリティ対策の支援をする専門組織（ICS-CERT）^注14がある。

▼ 注9
電力線通信：Power Line Communications（PLC）。

▼ 注10
コンセントレータ：Concentrator、集約装置。電力会社の電柱上に設置される各家庭（数十〜数百軒）のスマートメーターからの電力の検針情報を集約する装置。

▼ 注11
IPP：Independent Power Producer、電力会社に卸電力を供給する独立発電事業者

▼ 注12
新電力：既存の北海道電力から沖縄電力まで10社の一般電気事業者とは別の、特定規模電気事業者（PPS：Power Producer and Supplier）のこと。契約電力50kW以上の需要家へ、一般電力会社の送電線を使用して電力を小売りする事業者。2012年3月9日に「PPS」から「新電力」へと名称変更した。

▼ 注13
http://www.meti.go.jp/committee/kenkyukai/shoujo/controlsystem_security/pdf/report01_02_00.pdf

▼ 注14
ICS-CERT：Industrial Control Systems Cyber Emergency Response Team
http://www.us-cert.gov/control_systems/ics-cert