◆現在懸念されているセキュリティ課題⑨
情報通信基盤の領域(情報通信網)
図5で、3つの太く赤い○印で示している情報通信基盤の領域(情報通信網)は、オープンな通信環境である。このため、次に挙げるようなセキュリティ上の課題に留意する必要がある。
図5 情報通信基盤の領域 (情報通信網)
〔出所 CDI作成〕
〔1〕通信ネットワークの脆弱性
これまで解説してきた制御システムは、AMI(スマートメーター通信基盤)などのように、クローズドネットワーク(閉域網)の中に存在していたが、スマートグリッドの一部のシステムおよび機器は、インターネットなどのオープンなネットワークに接続される可能性が高くなる。このため、DDos攻撃やなりすまし、不正なDNS書き換え、ルーティング(経路)情報の書き換えなどの脅威に遭いやすくなる。
〔2〕電力線通信注9における常時接続性
家庭で家電機器などに電力を供給するために配線され、常時接続されている電力線上に、電力使用量を示す情報信号を乗せている場合に、この情報信号を通じた攻撃や障害が発生する可能性がある。その場合、電力線が家電機器等に電力を供給していることもあるため、物理的に情報信号だけを遮断することが困難になる。
◆現在懸念されているセキュリティ課題⑩
サービス提供事業者の領域(クラウドデータセンター)
図6に、サービス提供事業者の領域の例を示すが、ここで家庭の電力使用量のデータなどを管理するクラウドデータセンター(サーバ)における留意点を見てみよう。
図6 サービス提供事業者の領域(クラウドデータセンター)
〔出所 CDI作成〕
〔1〕収集された検針データのアクセス管理
双方向通信によって、スマートメーターで検針された電力使用量のデータが、コンセントレータ注10を経由して、電力会社のサーバシステム(クラウドデータセンター)に集約される場合、そこに集約された検針データに対するアクセス管理がされなければならない。
〔2〕プライバシー情報の取り扱い
使用者のデータに関する利用目的、保存および破棄などに関する取り扱いについての取り決めを、サービス提供事業者との間でする必要がある。
◆現在懸念されているセキュリティ課題⑪
電力供給事業者の領域(IPP/新電力、発電所)
図7に、電力供給事業者の領域の例として、既存の発電所(火力・水力・原子力)と太陽熱や風力などの再生可能エネルギーによる発電所、IPP(卸電力事業者)注11や新電力(PPS)注12などを示す。ここでは、これら電力供給事業者領域における留意点を見てみよう。
図7 電力供給事業者の領域(IPP/新電力、発電所)
〔出所 CDI作成〕
〔1〕脆弱性を利用した不正侵入
電力供給事業者において活用されているIT関連機器をアップデートあるいは保守するタイミングで、ソフトウェアの脆弱性を利用した不正侵入が行われないよう、脆弱性対策を万全にしなければならない。
〔2〕通信経路に対する虚偽情報の意図的な流布
インターネットからのアクセスが可能な領域において、なりすましメールや、Web の不正な書き込みなどによる虚偽情報が流布され、それを確認した担当者が制御などを誤作動させる恐れがある。
〔3〕意図的な大量アクセスによるサービス不能化
インターネットからアクセス可能な領域において、特定の機能に大量にアクセスがされる(前述したDDoS攻撃)ことによって、その処理のためにリソースが取られてしまい、本来の機能が十分に発揮されない恐れがある。
〔4〕特定設備(機器)を制御するソフトウェアを狙ったマルウェア感染
クローズなネットワーク環境の下で運用されている特定設備(機器)を制御するソフトウェアがマルウェアに感染し、特定設備(機器)が正常な動作をしない、あるいは想定しない動作をする恐れがある。
国内では、経済産業省の「制御システム検討タスクフォース」において、国内インフラ等に対する情報セキュリティ対策の強化が検討され、2012年6月1日に「制御システム検討タスクフォース報告書 中間とりまとめ」が公開されている注13。
米国には、国土安全保障省内に、産業用制御システムのセキュリティ対策の支援をする専門組織(ICS-CERT)注14がある。
▼ 注9
電力線通信:Power Line Communications(PLC)。
▼ 注10
コンセントレータ:Concentrator、集約装置。電力会社の電柱上に設置される各家庭(数十〜数百軒)のスマートメーターからの電力の検針情報を集約する装置。
▼ 注11
IPP:Independent Power Producer、電力会社に卸電力を供給する独立発電事業者
▼ 注12
新電力:既存の北海道電力から沖縄電力まで10社の一般電気事業者とは別の、特定規模電気事業者(PPS:Power Producer and Supplier)のこと。契約電力50kW以上の需要家へ、一般電力会社の送電線を使用して電力を小売りする事業者。2012年3月9日に「PPS」から「新電力」へと名称変更した。
▼ 注13
http://www.meti.go.jp/committee/kenkyukai/shoujo/controlsystem_security/pdf/report01_02_00.pdf
▼ 注14
ICS-CERT:Industrial Control Systems Cyber Emergency Response Team
http://www.us-cert.gov/control_systems/ics-cert