CO2排出量ネットゼロの実現が求められる中、その期待に応えるために世界のエネルギー業界が電力網のデジタル変革に取り組み、あらゆるデータのデジタル化と接続が進められています。しかし、データが存在する場所にはハッキングのリスクが潜みます。今日、変電所は主に電力の送電と配電を行っており、多くの国では、変電所のエネルギーフローと情報のデータフローを分離しています。しかし、近い将来には、エネルギーフローとデータフローの両方が、変電所を通じて供給されると予想されています。そのため、エネルギー供給を促進するうえで、変電所自動化システム(SAS)が重要な役割を果たし、サイバー脅威からSASを保護することが非常に重要となります。
デジタル電力網のセキュリティ確保は国家レベルのセキュリティ事項
今日では、さまざまなシステムが高度に接続されており、電力網も無数のデジタルネットワークに接続されています。変電所の自動化は、OT/ITコンバージェンスの典型的な例と言えるでしょう。一例として、SCADA(監視制御およびデータ収集)システムなどのアプリケーションによる監視や制御により、反復的かつエラーが発生しやすい作業を自動化することで、従業員の継続的な入力作業の負担を軽減することができます。電力網のデジタル化は、こうしたメリットをもたらす一方で、システムの整合性が損なわれてしまうと、システムは新たなサイバー攻撃の危険にさらされるというリスクを負います。
2022年4月、ロシアによる多方面からのウクライナ侵攻の2か月後に、ウクライナ政府は、同国最大の電力会社が200万人規模の停電を引き起こす深刻なサイバー攻撃を回避したことを明らかにしました。サイバーセキュリティ研究者は、ハッカーがウクライナの高電圧変電所に対してIndustroyer2マルウェアのほか、CaddyWiperなど数種類の破壊的マルウェアによる攻撃を試みたと伝えています。ハッカーは、ワイパー型ソフトウェアの一種であるCaddyWiperをウクライナ中に広め、感染したコンピュータシステムのデータを削除しました。政府、規制当局、電力会社は、このウクライナの事例を教訓として、迅速に行動を起こし、増大するサイバー脅威に対応する必要があります。戦時中、平時を問わず、重要な電力インフラの保護は、常に国家の最優先事項であるべきです。
変電所の自動化に向けたサイバーセキュリティガイドライン
上記の理由から、北米電力信頼度協議会(NERC)や欧州連合(EU)などの政府機関は、電力会社に対し、サイバーセキュリティ規制とガイドラインの強化を求めています。2022年12月に、NERCは新しい「セキュリティ統合戦略」を、EUはネットワークおよび情報セキュリティ指令2.0(NIS2.0)を発表しました。
また、産業界に向けた新しい規制が継続的に策定されています。ネットワーク保護の観点から考えると、これらの規制は、以下3つの課題に対処することで、電力網の自動化システムにおけるセキュリティ確保に重点を置いています。
1. 重要な資産の可視性
変電所自動化システムは、保護リレー、電力計、HMI、コントローラ、ネットワークデバイスなど、構成と制御が可能なさまざまなコンポーネントで構成されます。複数の異なるサプライヤーから提供されるこれらの重要な資産は、使いやすく統一された管理プラットフォームを備えていないため、可視性が高くありません。脆弱性が存在しても、検出が困難なため、ハッカー、サイバー犯罪者、サイバーテロリストなどに悪用される可能性があります。そのため、定期メンテナンスの一環として、ファームウェアの定期的な更新や、セキュリティパッチのインストールが重要です。可能であれば、潜在的な欠陥の特定や、最新のセキュリティパッチの適用を支援できる製品セキュリティインシデント対応チーム(PSIRT)を有するベンダーを選択しましょう。
2. アクセス制御
物理的なアクセスの制御が堅牢だとしても、論理アクセス制御のポリシーや管理方法に不備があれば、システムは危険にさらされます。サードパーティベンダーのセキュリティ基準が、システムオペレータのセキュリティ基準と一致していない、ITの知識が乏しいOT担当者が誤った設定をしてしまう、不正なユーザーに誤ってアクセスを許可してしまうといったケースが考えられます。そのため、社内とサードパーティ両方の運用チームと連携して、関連するシステムの機器やソフトウェアのメンテナンスガイドラインとセキュリティ設定の整合性をとることが重要です。
3. プロアクティブな保護
ファイアウォールは、定義されたセキュリティ境界内の重要な資産を保護してくれますが、その一方でリモートアクセスを利用した侵入が外部からのサイバー攻撃の手段として増加しています。リモートアクセスは、今日のデジタル化された電力供給システムにおける典型的な脆弱性の1つです。今日のサイバー脅威の環境下においてエンジニアが電力システムを保護するには、通信パターンの一貫した監視や、潜在的なサイバー脅威の効果的な検出といったプロアクティブな保護が必要となります。疑わしい、もしくは異常な通信を検出するために、高度な侵入防止システム(IPS)と侵入検知システム(IDS)を備えた次世代ファイアウォール(NGFW)の導入を検討してください。
まとめ
サイバー脅威から変電所自動化システムを保護する完璧なソリューションは存在しません。しかし、ベストプラクティスに基づいた重要な課題や運用方法を理解することで、リスクを最小限に抑え、電力網全体の耐障害性を向上することができます。
Moxaが、どのように変電所自動化システムの保護を支援しているかについての詳細は、Moxaのホワイトペーパーをご確認ください。