新 誠一（しん・せいいち）氏
電気通信大学システム工学科教授。1978年東京大学工学部卒業、80年同大学院工学系研究科修士課程修了。同大学工学部計数工学科助手を経て、1987年工学博士(東大)。その後、筑波大助教授、東大助教授などを歴任して2006年から電通大教授。制御システムセキュリティーセンター（CSSC）の理事長も務める

2015年末にウクライナの電力網がサイバー攻撃を受け、大規模停電が発生しました。発電所や交通システムといった重要インフラが、新たな脅威にさらされていることが鮮明になりました。

新：ウクライナは特殊ケースだと言う人もいますが、重要インフラへの攻撃は日本でも起こり得ると覚悟しておいた方がよいでしょう。

　企業の人事・会計情報や業務上の機密を狙った「情報システム」へのサイバー攻撃が激化しています。1日に数回といった単位ではなく数万回、企業によっては数十万回というレベルで攻撃を受けています。そうした攻撃が最近、発電所や工場などをつかさどる「制御システム」に向けられるようになりました。

　工場の設計図や建物内の設備台帳、ネットワークの管理マニュアルなどはほとんどが電子化され、電力事業者や設備納入業者の情報システム内に格納されています。ここから機密が漏洩すると、さらなる攻撃の引き金になります。

　建物内のどこにルーターが設置され、どんな設定になっているかが“丸裸”になると攻撃しやすい。そのため、悪意ある攻撃者はまず情報システムを陥落させ、次に制御システムを狙うわけです。

「当社の工場はインターネットに接続していないから安全だ」という意見は、製造業を取材するとよく耳にします。

新：そういう主張を聞くたびに、片っ端から蹴飛ばしたくなりますよ（笑）。もしそんな発言をする無責任な経営者がいたら、いつでも連れてきて下さい。

　工場内では今、多くのパソコンが稼働しています。それがないと仕事になりませんから。そうしたパソコンは「アップデート」のために、必ずインターネットに接続します。それが一つの侵入経路になるのです。私が訪れたある工場では、外部の人間が接続できる無線LAN環境が整備されていました。

　インターネットとの接点にファイアウオールなどを設置し、安全を保っていると反論されるのですが、きちんと運用されているかは不透明です。電源が落ちたら、セキュリティーの設定が初期状態に戻ってしまう製品すらあります。

誰が制御システムを攻撃しているのでしょうか。

新：オーストラリアではかつて、下水道を管理していた職員が解雇された腹いせでシステムに侵入し、汚水をばらまくという事件が起きました。米国では子供が鉄道システムを乗っ取って、信号を変えてしまうというインシデント（重大事象）がありました。韓国では、マスメディアのシステムがダウンさせられたり、GPS信号が攪乱されたりといった被害が出ています。

原因を即座に特定するのは困難

日本の電力システムや重要インフラがサイバー攻撃を受けたという話は、あまり聞こえてきません。

新：電力やガス、航空、金融といった重要インフラはそれぞれ所管省庁が決まっています。何らかのトラブルによって健康や安全、環境に問題が生じた場合、法令に基づき報告が求められます。仮に停電が起きた場合は経済産業省に、航空関連でトラブルがあったら国土交通省に情報が集約されることになります。

　事故が起きるたびに新聞やテレビで報じられますが、問題が発生した時点で全ての原因が特定できるわけではありません。機械のトラブルなのかソフトの設定ミスなのか、それともサイバー攻撃に起因するのかを判別するには時間が必要です。早くても1週間かかるでしょうし、何年経っても分からないということすらあります。

　問題が特定されたからといって、それが報道されるとは限りません。政府や重要インフラ事業者も、いたずらに不安を煽るようなことを発表したくはないですからね。

水面下では多くのサイバー攻撃にさらされている、と。

新：そうした可能性を踏まえ、政府は着実に手を打っています。

　経産省は昨年、企業経営者向けに「サイバーセキュリティー経営ガイドライン」を策定しました。今年4月に電力小売りが自由化されましたが、新電力が既存の電力網に接続するには、電力制御に関するガイドラインを満たす必要があります。さらにIoT（モノのインターネット）やスマートメーターに関するセキュリティーのガイドラインも、相次ぎ登場しています。

　こうしたセキュリティーのガイドラインは、企業経営を大きく左右します。ガイドラインを無視して事故を起こした事業者は、その点を厳しく追及されるはずです。また今後は、サイバー攻撃対策を怠る企業は入札に参加できないなど、機会損失に見舞われることになるでしょう。こうした流れに対応できない経営者は、責任を問われかねません。

　情報システムに関しては、JIPDEC（日本情報経済社会推進協会）が主導するセキュリティーの認証制度が浸透しています。「ISMS（情報セキュリティーマネジメントシステム）認証」と呼ばれるもので、既に4000社以上が受けています。

　2014年からはこの枠組みを、制御システムにも広げました。2016年3月には、東京ガスが日立LNG基地のセキュリティーについて「CSMS（サイバーセキュリティーマネジメントシステム）認証」を取得しました。日本独自の取り組みとして海外からも注目されています。

9つの模擬プラントで防衛訓練

サイバー攻撃はどんどん高度化しています。軍隊が防衛を主導できない日本は、最初からハンディを背負っていると指摘する専門家がいます。

新：海外の軍隊のサイバー部隊については、機密情報が絡むので実態はよく分かりません。しかし民間では、日本のサイバー防衛対策は世界のトップレベルにあると考えています。宮城県多賀城市に構えた「制御システムセキュリティーセンター（CSSC）」がその象徴です。上下水道や発電所、組み立て工場など9つの模擬プラントを設置し、サイバー攻撃を受けたらシステムがどのような挙動を示すのか訓練を重ねています。

　CSSCを設置した狙いの一つは、情報システムと制御システムの両方に精通した人材を育てることです。マルウエア（悪意を持ったソフトウエアの総称）対策やファイアウオールの設定は、工場の現場で働く人にとっては縁遠い。一方で、人命に関わる安全対策は情報システムの経験だけでは学べない。両方のスキルを身に付けた人材が、今後は重要になっていきます。

　軍隊ではなく民間の設備で実施しているからこそ、様々な情報が共有できるという利点があります。サイバー防衛の分野で、日本が戦わずして負けているという論調に賛同することはできません。