中部地区5県に電力を供給する中部電力の情報システム部門であるITシステムセンター(2018年4月に情報システム部を改称)はシステム子会社の中電シーティーアイ(CTI)とともに、全社のセキュリティ戦略を取りまとめ、マネジメントする役割を担っている。特徴は情報系(IT)システムだけでなく、発電所や変電所、送電網といった電力設備とそれらを制御するいわゆる制御系(OT:Operation Technology)システムも含めていることだ。カバーすべき仕事は規定の整備から経営層を含めた教育、システムのリスクアセスメント、セキュリティ製品の導入、インシデント対応、サイバー攻撃を想定した各種訓練までと幅広い。

セキュリティ対策の全体像
(出所:中部電力、中電シーティーアイ)
[画像のクリックで拡大表示]

伊勢志摩サミットを機にITとOTのセキュリティを統合

 電力を安価に安定して供給する――。このミッションを第一に、中部電力は長年、リスクマネジメントに注力してきた。例えば設備の状況を監視して、故障などがあれば電力供給のルートを自動で変えるといったOT系の系統制御システムはその取り組みの一つだ。中部電力に数百種あるOT系は「セキュリティをあまり考えてこなかった」とITシステムセンターの沢井志彦総括グループ課長は明かす。

 一方で、ITシステムセンターはかつてIT系セキュリティのみを管轄していた。セキュリティ維持を長年支援してきた中電CTIの永野憲次郎 インフラユニット インフラ・セキュリティサービス部 セキュリティ基盤グループリーダーは「IT系は別の部署が管理するOT系に踏み込みにくい状況が続いていた」と明かす。そのため、現場の多くの人は何か不具合があってもまず「故障」を疑うという。

中部電力 ITシステムセンター 総括グループ課長 沢井志彦氏
[画像のクリックで拡大表示]
中電シーティーアイ インフラユニット インフラ・セキュリティサービス部 セキュリティ基盤グループリーダー 永野憲次郎氏
[画像のクリックで拡大表示]
中部電力 ITシステムセンター 総括グループ 宮地美希氏
[画像のクリックで拡大表示]

 セキュリティについてはIT系とOT系の溝を無くし、その統括をITシステムセンターに一本化するように指示したのは勝野哲社長だった。2015年9月のことだ。沢井課長は勝野社長から「(IT系とOT系など)データとデータをつなぐのがシステム部門のこれからの仕事になる」と声をかけられたという。電力設備はかつて独自OSや独自プロトコルを使ったり、「一品物」が多かったりしたため、サイバー攻撃のリスクは少なかった。だが最近では汎用技術を使うケースが増え、OT系の内部でもTCP/IPでつながるようになり、さらにIT系ともつながってきたため、OT系が攻撃を受けるリスクが高まっていたのだ。

 このリスクを極力抑え込もうと勝野社長が決断した背景には、2016年5月の伊勢志摩サミットがあった。様々な脅威が予測されるなか、全社でリスクマネジメントの見直しが必要だったのだ。「(OT系に踏み出す)覚悟を決め、経営会議に企画書を出した」と沢井課長は、勝野社長の指示から2カ月後の11月、ITシステムセンターと中電CTIを中央に据え、経営層や企画部門、各事業部などと連携する全社のセキュリティマネジメント体制を構築した。

セキュリティ推進体制
(出所:中部電力、中電シーティーアイ)
[画像のクリックで拡大表示]

 この時、サミット向けに参考にできる資料は無かった。前回、2008年開催の洞爺湖サミットのころはサイバー攻撃対策に乏しかったからだ。そのうえ、IT系だけであれば設備が集中するデータセンターを守ればよいが、変電所だけで938カ所あるなどOT系は設備が電力供給範囲の隅々に広がる。「コンサルティング会社などからいろいろと話を聞いたが、結局、マネジメント体制はそれぞれの会社に合わせて作って行くしかないと気づいた。社会的責任を担う当社の場合、責任と役割を明確にすることに注力した」(沢井課長)。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら