日本の技術的、制度的、人材教育などの課題
─編集部:今の話の中で、日本の課題についても出てきました。技術的、制度的、人材教育、経営者の意識といったレベルでは、どのような課題があるのでしょうか。
〔1〕スマートメーターと「野良IoT」の課題
新:重要インフラの1つであるスマートグリッドにおいて、IoTの象徴的な存在は一般家庭に導入されつつある7,800万台ものスマートメーター(図4)だと思います。発電所や電力会社の施設ではなく、各家庭に設置されるという点で、インフラのサイバーセキュリティとしては異質なものといえます。セキュリティアップデートを含むメンテナンスをどうするか、そもそも設置したはいいが、電力会社が捕捉できていないメーターをどうするか。
図4 日本におけるスマートメーターの普及状況(2016年11月末までの累積結果の割合:全国7800万台のうち約30%の導入率)
出所 経済産業省「第15回 制度設計専門会合 事務局提出資料・資料6」、平成29(2017)年1月26日電力ガス等取引委員会
このような機器を「野良IoT」と呼んだりしていますが、管理者がいないIoTデバイスが実際に攻撃対象となって、被害も発生しています。
〔2〕IoTのセキュリティ課題と古いシステムへの課題
新:安全には、機械安全と機能安全というものがあります。純粋に機械的な仕組みで実現する安全と、コンピュータ処理を前提とした安全機構のことです。IoTのセキュリティを考えたとき、単体の機械安全、機能安全のほかに、各デバイスを監視、管理するオペレーションセンターのようなものが必要だと考えます。
また、世間ではモノからサービスへとビジネスがシフトしているといわれています。スマートメーターも単なるデジタルの電力量計ではなく、さまざまなサービスのための端末やデバイスとなっているわけですから、「サービスごと」「企業ごと」「業界ごと」といったレベルで、オペレーションセンターの構築とそれを機能させる制度の整備が避けられないと思います。
渡辺:重要インフラの基幹システムに、相当古いシステムが使われている現状も課題といっていいでしょう。メガバンクの基幹システムでもある勘定系システムですら、PL/I(Programming Language I、ピーエルワン)という1970年代のプログラミング言語)のシステムで動いているものもあります。これらは、基本設計の段階でサイバー攻撃などを前提としているわけではなく、設計した技術者もほとんどリタイヤしているので、改修は事実上不可能です。そのため、システム全体の入れ替えで新しくしていくしか方法はありません。
〔3〕制御システムはクローズドで独自技術であることが課題
渡辺:制御システムは、クローズドかつ独自技術で作られているため、サイバー攻撃に対する安全性を過信している面があるのと、稼働中のインフラシステムの刷新は簡単ではないため、対応は遅れています。
バランスは難しいですが、産業界だけでなく国や国民全体の安全を考えた制度の整備、規制強化のタイミングであるかもしれません。社会インフラのうち水道以外はほとんど民営化されているので、官の過度な介入は難しいわけですが、うまくやれば、経営者も規制やガイドラインがあることで動きやすくなると思います。
新:安全については、経済産業省、厚生労働省、国土交通省などさまざまな省庁の役割がありますが、国・国民の安全となるとやはり国の役目ですから、挑戦していかなければならないでしょうね。