[重要インフラサイバーセキュリティコンファレンス2021 レポート]

その時何が起きたのか?大手アルミ製造「Norsk Hydro」に聞く!

― ランサムウェアに感染し操業停止! ―
2021/04/11
(日)
インプレスSmartGridニューズレター編集部

開放性(オープン)、透明性を重んじた情報公開

Tomomi Aoyama

Tomomi Aoyama

青山 友美氏
IPA 産業サイバーセキュリティセンター 専門委員
名古屋工業大学 社会工学専攻 研究員
(重要インフラサイバーセキュリティコンファレンス実行委員 アドバイザリーボード)

〔1〕情報公開で対サイバー攻撃への共闘体制、防衛線を構築

青山 サイバー危機におけるクライシスコミュニケーションとなると、ややもすると、マイナスのイメージを連想しがちです。お話では、マスコミから否定的な意見がなかったということでしたが(前出の図3参照)、好意的な反応があるという確信はあったのでしょうか? また、顧客や関係者の批判に対しての不安はなかったのでしょうか?

モランド 企業は、何よりも自社の評価が傷つくことを恐れます。サイバー攻撃への備えがぜい弱だとか、ウイルス対策がなかったからだとか。

 しかし、サイバー攻撃については、ほとんどの人が企業は被害者だと理解してくれています。相手は犯罪者なのですから。一方で、サイバー攻撃の被害者を批判する人たちは、サイバー攻撃がどういうものなのかを理解していない、詳細を知らないのだと思います。

 今回私たちが受けたランサムウェア攻撃は、非常に高度です。攻撃者は潤沢なリソースを使って、じっくり周到に計画を立てて攻撃をしかけてきます(前出の表2参照)。ですから、よほど当事者である企業がサイバー攻撃対応について怠慢でなければ、情報公開し共有することを批判するのではなく、むしろ賞賛すべきではないでしょうか。そうすることで企業は、サイバー攻撃に対して共闘体制を作り、防衛線を共に張ることができると思います。

 私たちはこの事件を警察に届け出をしましたが、警察はこれを深刻に受け止め、捜査を開始しました。捜査は簡単ではありませんが、警察は私たちが提供した情報に基づいて捜査していくことで、他の企業が新たにサイバー攻撃されるのを未然に防ぐことができるかもしれない、といっていました。

〔2〕情報公開や情報共有の前向きな前例をつくった

青山 私は、ノルスク・ハイドロがオープンで頻繁に情報公開したことによって、情報公開や関係者との情報共有に関して、前向きなサイクルの前例をつくり貢献されたと思っています。何事も先陣を切ることは容易ではなく、御社が、一番にこの先例を作ってくれたことに感謝したいと思います。私たちもそれを目標にしていかなくてはなりません。

 ところで、インシデントから学んだ教訓について、復旧の道のりは長かった、また時間を要する復旧で社員の疲労が蓄積したとおっしゃっていましたが、広報を担当されていたモランドさんご自身は、どのような役割を果たしたのでしょうか? また、どのように復旧のプロセスをサポートしたのかを教えてください。

モランド 復旧プロセスは、約6週間から8週間をかけてITネットワーク主体の通常操業に戻しました。IT部門が緊急事態を解除できたのはその3カ月後です。かなり長い時間を要しました。

 広報では2つのことを行いました。まず、ノルスク・ハイドロの社員には、時間をかけて全社員に対応状況を十分に理解してもらうことに注力しました。次に、同様なことを、外部の顧客やステークホルダー、メディアに向けて行いました。

 一部のお客様にはしばらくの間、製品をお届けできないかもしれない、でも製品供給を再開するためにあらゆる手を尽くしていることを伝えたかったのです。また、外部のステークホルダーに対しては、システムがすべてダウンして決済情報にまったくアクセスできず、さらに銀行との回線もすべてダウンして支払いがしばらくできない状態にあったため、事情を伝える必要がありました。

 積極的な広報によって対応状況をまず知っていただいたうえで、「私たちは復旧に向けて努力をしているが、ただ時間がかかる」ということを納得していただくように努めました。

〔3〕手動オペレーションとして活躍したヒーロー

青山 復旧段階で、御社が行った興味深い活動の中に、「ヒーローを探す」というものがありました。当時、システムダウンしたために手動運転で操業を続けていた社員のインタビューを収録し、まだ復旧フェーズ中のわずか2週間で、YouTubeにも公表されました。

 このことも、やはり社内の状況を少しでも早く伝えて、ステークホルダーに辛抱をお願いする広報戦略だったのでしょうか?

モランド その通りです。また、もう1つの狙いは、当時、社員がとても疲れ、組織全体が疲弊していたので、社内向けの広報あるいはコミュニケーションの一環として行ったものでした。「人一倍頑張って貢献してくれている社員を、ヒーローとしてたたえたい」と思ったからです。

 サイバー攻撃によってシステムダウンし、生産そのものができない問題に加えて、もう1つの大きな問題は、図面や注文書、レシピ等のデータがすべてデータシステムに保管されていたため、何をどう生産したらいいかもわからなくなっていたことでした。

 そこで取り上げたヒーローの一人が、ベルギーのリフテルフェルデ(Lichtervelde)の押出成形型工場のセールスマネージャーでした。

 彼はコンピュータをまったく信用しておらず、毎週月曜日に注文書を全部印刷してファインダーに閉じて棚に保管していました。サイバー攻撃によってデータがすべて失われたとき、彼のファインダーだけにすべての注文書が残っていて、その結果、リフテルフェルデ工場ではすぐ手動運転に切り替え、手作業で注文内容を入力し、生産を続けることができたのです。

 この事例は社内広報で伝えていたのですが、このことは社外でも同じくらい広報として有効ではないかと思い、対外的にも活用し始めました。

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...