気候変動や温室効果ガス問題について～エネルギー分野の「実質ゼロ排出目標」に関するサイバーセキュリティの課題とは？～

原文のブログはこちらからご覧いただけます。
 

^{（本ブログ記事は、BlackBerry の APAC 担当エンジニアリングディレクター Jonathan Jackson が EcoGeneration Magazine 2022 年 8 月号に寄稿した記事「Energy’s Net-Zero Cybersecurity Challenge」を許可を得て抜粋したものです。記事全文はこちらでご覧いただけます。）}
 

オーストラリアが掲げる 2030 年までの 43% の排出削減目標は、サイバーセキュリティを持続可能性目標の中心に据える取り組みと歩調を合わせる必要があります。

現代ほど、気候変動や温室効果ガスの実質ゼロ排出に向けた取り組みが注目される時代はありません。オーストラリアをはじめとする世界中の燃料価格高騰を受け、政府の政策と投資は、電気自動車（EV）、充電インフラ、および太陽光などの再生可能エネルギーへと向けられつつあります。

オーストラリアのアンソニー・アルバニージー首相率いる新労働党政権は、2030 年までに 43% の排出量を削減するという新たな目標を掲げた上で、新たな EV 税制優遇措置とインフラ整備計画を発表しました。また、その目標の一環として、2030 年までにオーストラリアのエネルギーの 80% を再生可能資源でまかなうとしています。

この目標を達成するには、仮にエネルギー需要が増加しなかったとしても、オーストラリアは再生可能エネルギーの導入ペースを 2 倍に速める必要があると報じられています。同国がこの取り組みに着手するかたわら、サイバーセキュリティの専門家たちは、大量に現れる IoT（モノのインターネット）エンドポイントに対するオーストラリアの国家電力網の脆弱性に警鐘を鳴らしています。

新型コロナウイルス感染症（COVID-19）の世界的なパンデミックの発生を経て、ウクライナでの戦争が今なお続く中、Quad や Five Eyes 同盟を含むほとんどの国はこの不安定な地政学的環境への警戒感を強め、重要インフラに対するサイバー攻撃を予期しています。この攻撃には、マネージドサービスプロバイダー（MSP）を介した IT サプライチェーンへの脅威も含まれます。
 

再生可能エネルギーのリスク：サイバー関連の懸念

オーストラリアが電力網の近代化計画を策定し、企業と個人がエネルギー効率に優れたネットワーク接続型の太陽光パネル、空調設備、および車両の導入を加速している現状を踏まえると、サイバーセキュリティが持続可能性と密接に関連していることを強調しておく必要があるでしょう。

次世代エネルギー計画によってネットワーク接続型のエンドポイントが大量に導入されると、持続可能性目標の達成につながる効率性が得られますが、その一方で、オーストラリアのインフラと組織が現在と将来にわたって攻撃者の脅威にさらされやすくもなります。これはスマートシティや車両など、Y2Q（量子コンピューティングにおける 2000 年問題に相当）のサイバー脅威に対して潜在的に脆弱な「長寿命」のデバイスやシステムに特に当てはまります。

オーストラリアではすでに、重要インフラ法の改正、ランサムウェア行動計画、新しい REDSPICE イニシアチブなど、国家のセキュリティとサイバーレジリエンスを強化する上で有望な進展がいくつか見られます。しかし法律の力だけでは、エネルギー分野をはじめ、IoT のサイバーセキュリティ脅威が新しい環境と古いレガシー環境の両方に影響する分野の複雑さと脆弱性に対処することはできません。

2021 年には年間を通して、浄水場やパイプラインなど、世界の重要インフラを標的とした重大なサイバー攻撃が何度も発生していました。オーストラリア信号局（ASD）事務局長の Rachel Noble 氏は最近、「脅威レベルが上昇している」とした上で、ASD が平均 8 分ごとにサイバーインシデントの報告を受け取っていることを明らかにしました。同氏はさらに、全インシデントの 25% が重要インフラ、あるいは医療や食品流通など必要不可欠なサービスの分野で発生していることも指摘しています。

こうした業界における運用技術（OT）と情報技術（IT）の融合、つまり、言うなればフィジカルとデジタルの融合は、はっきりとした危険性をはらんでいます。新しいハードウェアやソフトウェア、そしてレガシーシステムがつながり合うたびに、より多くの脆弱性が露呈するためです。

人工知能（AI）を用いて攻撃を予測するなどの予防措置を講じなければ、脅威アクターが脆弱性の悪用手段を見つけ出してシステムの接続網に侵入し、悲惨な結果をもたらす恐れがあります。

人的要因

ここからは、太陽光発電を例に考えていきましょう。オーストラリアは太陽光発電の導入が世界で最も進んでおり、全国に 300 万台以上の屋上太陽光発電システムが設置されています。これ自体は素晴らしいことですが、ほとんどの国民はサイバーリスクに気づいていません。

太陽光発電システムでは、インバータからパネル、パネルからエネルギーグリッド網へと接続がつながっています。多くの場合、これらのパネルはインターネットにも対応しており、スマートフォンやタブレットのアプリから使用状況を簡単に追跡・監視できるようになっています。これらの太陽光パネルのいずれか 1 つにソフトウェアの脆弱性が含まれているだけで、攻撃者がそれを悪用して足場を固め、より広範な電力網に攻撃を仕掛ける可能性があります。

また、EV 用の充電器にも脅威が迫っています。ニューヨーク大学タンドン工科大学電気・コンピューター工学部の助教授である Yury Dvorkin 氏は、エネルギー分野におけるサイバー/フィジカル各レイヤーの相互作用が複雑化していることを懸念し、公共の EV 充電ステーションが米国のエネルギー供給網へのサイバー攻撃の起点となる可能性に関する研究を発表しています。

オーストラリアが全国的な EV 充電インフラ整備に向けた計画を準備し、多くの国民が EV 設備を家庭や企業に設置しつつある中、その計画策定においてはサイバーセキュリティを最優先する必要があります。IT サプライチェーンは今後ますます地球規模で相互接続されると思われますが、そのようなサプライチェーンではあらゆるポイントが弱点となり得ます。また、電力網、病院、輸送機関におけるサイバーインシデントは、データの窃取やビジネスの混乱だけにとどまらず、物理的な損害や環境破壊につながる可能性があります。

米国の技術調査およびコンサルティング企業である Gartner 社の予測では、2025 年までにサイバー攻撃者が運用技術環境を武器化し、人間に危害を加える、あるいは人命を奪うという事態が発生する恐れがあります。同社はまた、サイバーフィジカルシステム（CPS）への攻撃によって重大な死傷者が出ることによる経済的影響は、2023 年までに 500 億米ドルを超えると予測しています。そして、CPS のセキュリティインシデントに対する責任については、2024 年までに 75% の CEO が法人格を否認され、個人責任を追求される可能性があるとしています。

鉱業、エネルギー、農業、医療、運輸といったオーストラリアの主要産業においては、経営陣にとってのリスクはさらに高くなります。

こうしたサイバー攻撃を未然に防御するには

より多くの産業が実質ゼロ排出の取り組みを推進し、スマートで持続可能なデバイスとインフラに投資する中、オーストラリアが太陽光パネルやその接続網といった物理デバイスを保護するにはどうすればよいのでしょうか。

単に基本的なセキュリティ基準を満たしたり、インシデント後の報告義務を履行したりするだけでは、もはや十分ではありません。以下のような予防ファーストのアプローチを検討し、オペレーティングシステムからエンドポイントまでの全体にわたってインテリジェントなセキュリティを確保する必要があります。

• 「設計によるセキュリティ」の組み込み：これは、制御システムレベルで安全認証を受けたソフトウェアを活用することで実現できます。
• ソフトウェアサプライチェーンの保護：現在すでに、メーカー各社がソフトウェア構成の解析ツールを使用して、ソフトウェアサプライチェーン全体の脆弱性を検知できる環境が整っています。 
• AI および機械学習ツールの活用：これにより、エンドポイントとネットワークに対する予防ファーストのサイバーセキュリティ体制が実現できます。
• スキル不足と「アラート疲れ」への対処：サイバーセキュリティのスキルに長けた脅威ハンターとアナリストへのアクセスを提供するマネージドサービスを活用すると、IT チームを補強できます。
• 重大危機管理の活用：安全なネットワークで信頼性の高いコミュニケーションを提供するインテリジェントなアラート技術により、人々の安全を確保できます。

私たちはよりよい地球を目指して努力していますが、すべてのデータ、モノ、人の安全確保に努めることも同様に大切です。そのため、官民両部門が国内外を問わず団結し、グリーンエネルギーの革新を信頼できるものにすることが極めて重要です。

オーストラリアにおいては、サイバーセキュリティを持続可能性の中心に据えることで、あらゆるレイヤーで「設計によるセキュリティ」を実現し、実質ゼロ排出の取り組みに関わる IoT の危機に備えることができます。

EcoGeneration Magazine の記事全文はこちらでご覧いただけます。

•    お問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
• サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• BlackBerry Japan：https://www.blackberry.com/ja/jp
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
  
• LinkedIn: https://www.linkedin.com/company/blackberry/
• Youtube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos