英シンクタンク:民生用原子力施設におけるサイバー・セキュリティ・リスクで警鐘
「チャタムハウス」の呼び名で知られる英国のシンクタンク「王立国際問題研究所(RIIA)」は10月5日、民生用原子力施設におけるサイバー・セキュリティについて分析した報告書を公表し、こうしたリスクに関する原子力産業界の理解の欠如に対して警鐘を鳴らすとともに、サイバー空間で先手を打てるような体制を取り、産業界として直面している課題への効果的な取組みに資金投入することなどを勧告した。RIIAはサイバー・セキュリティと原子力セキュリティ双方の関係者を交え、昨年から今年に掛けて18か月間の調査プロジェクトを実施。産業界や政策立案関係、学会などでの突っ込んだインタビューや専門家会合を通じてサイバー・セキュリティ上の主要課題を評価した上で、セキュリティ強化の一助になる国際的な政策を特定するなど、これらの解決に向けた潜在的な方策を示唆している。
同報告書はまず、2010年にイランのブシェール原子力発電所が不正プログラム「STUXNET」の攻撃を受けた事件に触れ、原子力施設ではサイバー・セキュリティ上の脆弱性という新たな懸念が浮上したと指摘。このような攻撃によって電離放射線が環境に放出されるリスクが特に高まっており、原子力関連施設では例え小規模の事件であっても、世論や民生用原子力産業の将来に過度な影響が及ぶ可能性があるとの懸念を表明した。国際原子力機関(IAEA)は近年、原子力部門のサイバー・セキュリティ改善で重要な措置を取りつつあるものの、その他の重要インフラと比べてデジタル・システムの導入が遅かった原子力産業界にとっては経験の乏しい、規制要件が不足した分野。長年にわたり核物質防護と原子力安全リスクへの対応に集中してきたがゆえに、サイバー・セキュリティ対策には十分な注意が払われてこなかったと分析した。
こうした背景からRIIAは、原子力施設でデジタル・システムへの依存が高まり、ハッキングが容易な市販ソフトの利用が増えるにつれて、サイバー・セキュリティ上のリスクも増大していると明言。上級幹部レベルでこうしたリスクへの認識を欠いたままデジタル化が進めば、施設の従業員もサイバー・セキュリティの脆弱性について十分理解せず、潜在的なサイバー攻撃に対して適切な準備が行われないことになる。原子力施設は公のインターネットから完全に切り離されていて、サイバー攻撃から防護されているという幻想が広がる一方で、その防護空隙はSTUXNET事件の際、USBドライブ程度のもので簡単に破られており、ハッキングは一層容易かつ広範に行わるようになっていると警告した。
サイバー・セキュリティ上の課題と対応策
RIIAが民生用原子力施設について特定した課題は主に、(1)産業界全体に関係するもの、(2)文化的なもの、(3)技術的なもの--の3種類。(1)については、原子力施設でのサイバー攻撃事件が公になることが少ないため、事の重大性を推し量ることが難しく、産業界の人員は「滅多にないこと」と思いがちだとした。その上、デジタル化が進んだ他産業との情報共有が限られているため、そうした産業から学ぶことが少なく、サイバー・セキュリティ会社とベンダー間のコミュニケーションや関連の規制基準も不足している。このような点から、産業界のリスク評価が不適切となり、セキュリティ向上のための支出も不十分であることが推察されるとした。(2)としては、原子力施設の運転技術エンジニアと情報工学エンジニアの間で意思疎通を図ることがしばしば難しいこと、また大抵の場合、重要なサイバー・セキュリティ手順に関する原子力施設従業員の理解が不十分で、関連演習や訓練も不足がちである点をRIIAは指摘。先回りして対処するというより対応が後手に回っていることから、サイバー攻撃がかなり進行するまで気付くことができない可能性があるとした。(3)に関してはまず、設計段階からサイバー・セキュリティ対策が組み込まれている産業制御システムは少ないという事実に言及。発見された脆弱性に修正モジュールで対処するというIT界の標準的なソリューションを原子力施設で実施することは、修正モジュールによるシステム破損などへの懸念から難しくなるとの認識を示した。
こうした脅威に対する勧告としてRIIAは、民生用原子力部門で組織的な対応を取る必要性を強調しており、上層部で関連知識の豊富な者が主導的役割を担うとともに、管理部門やスタッフおよび幅広い関係者が活発に貢献すべきだと提言。産業界がIAEAの関連ガイダンスや勧告を考慮した上で取るべき戦略的アプローチとして、次の点を勧告した。すなわち、
・ハッカー達に対抗し、打ち勝とうという強い意欲を持ち、率先した行動を取る、
・産業界の中でサイバー・セキュリティを促進・醸成するための資金を投入し、上層部から個人に至るまでレベル毎の対策を強化する、
・国際的なサイバー・セキュリティ・リスク管理戦略を策定し、課題に対応できる周到な準備メカニズムを盛り込む推進力と敏捷性を維持する、
・技術的な不足部分に取り組むために組織的な行動計画を策定する、
・組織的な対応が取れるよう、すべての関係者を関わらせる、--などである。