世界で大規模なセキュリティ被害が相次いでいる。2014年にはドイツの製鋼所で高炉が爆発したほか、今年ウクライナでは原発システムが制御不能に陥った。サイバー攻撃の手法は日々進化を遂げている。あなたのスマホが乗っ取られて、テロの発信源になることもあるのだ。日米の専門家に、最新事情を解説してもらった――。

「工場火災の原因は、あなたのスマホだ」

2020年7月17日。東京オリンピック開幕まであと1週間。私はいつものように通勤しようと駅のホームで電車を待っていた。突然、アナウンスが流れる。システム異常でダイヤに遅れが出ているという。45分経ってようやく電車がやってきた。駅のホームには人が溢れ、車内も超満員状態だ。

目的の駅に着き、電車を降りて会社へ向かう。建物に入ると入館ゲートは閉じられていて、警備員が社員を階段へと誘導している。建物の電気系統に異常が起こっているらしい。

ようやく13階へ着くと、すぐに部長から会議室へ呼び出された。昨日の会議の議題だった、企業買収の情報と会議音声がネット上に流れているという。部長にスマホを確認してくれといわれる。私のわけがない。第一、スマホの録音機能など使ったこともない。それでも念のため、データを開いてみる。――そこには、まさに昨日の会議の様子が録音されていた。

どういうことだ。部長は「遠隔操作」の可能性があると、私をIT部門のあるフロアへ行こうと促した。IT部門のフロアに着き、担当者のデスクに向かう。部長が担当者に一言話しかけ、スマホを渡す。すぐにスマホをパソコンにつなぎ確認をはじめる。

部屋を見回すと、珍しくテレビがついていた。ニュースキャスターは、変電所の制御システムがコントロールを失い、各地で停電が起こっていると矢継ぎ早に伝えている。原子力発電所も放射能漏れの恐れがあるという。原因は不明だそうだ。続けて、首都圏沿岸部の化学コンビナートの中継に移る。そこには、プラントが炎をあげて燃えている映像が流れている。

そのとき、部屋に制服を着た警察官が2人入ってきた。通常とは違う光景に、一気に職場の雰囲気が変わる。2人はこちらへ向かってくる。目の前で名前を確認され、スマホはどこかという。私は、IT担当者のほうを指差す。昨日の録音の件だろうか。

すると警察官は私に向かって「テレビで映ってる工場の火災、きみのスマホのアプリが発信源になっている。署まで同行してもらいたい」。まったく事態を呑み込めない。何が起こったというんだ――。

五輪はハッカーにとっても大チャンス

これらは今回の取材をもとに浮かびあがった、東京オリンピックを狙ったサイバー攻撃によって起こりうる、日本の近未来だ。

米国のサイバーセキュリティ企業の共同創業者で、オバマ政権で国家テロ対策の責任者を務めたマット・オルセン氏は「オリンピックのような国際的なイベントは、これまでのサイバー攻撃の歴史では、ハッカーたちにとって自分たちの存在を世に知らしめるものと捉えられてきました。国を挙げてしっかり対応しないと、想像もできない大きな問題が起こりえます」と語る。

サイバー攻撃で製鋼所は爆発し、原発は制御を失う

サイバー攻撃による被害は、近年世界中で起きている。たとえば16年末、ウクライナの首都キエフで数時間にわたる大規模な停電が発生。原因は送電網を制御するコンピュータがサイバー攻撃を受けてウイルスに感染したことだった。

14年にはドイツの製鋼所のネットワークがサイバー攻撃を受け、溶鉱炉の制御システムが乗っ取られた。システム全体に頻繁に不具合が発生し、生産設備が大きく損傷する事態に陥った。

日本でも、今年5月には「ワナクライ」と呼ばれる身代金要求ウイルスの被害を受けた。日立製作所やホンダなどでは、メールの送受信ができなくなったり、工場の生産ラインが止まるなどのトラブルに見舞われている。

サイバー攻撃の被害で、報道で語られるのは個人情報の漏洩やホームページの改ざんがほとんど。しかし、IT化が進み、攻撃の対象はこれまで外部とは接続されていなかった企業活動の“現場”である工場の生産設備などにまで広がっている。自動車や家電など身の回りの機器がネットワークにつながるIoT(Internet of Things)の進展も被害の拡大に拍車をかける。

サイバー攻撃による被害が最も懸念されるのが開幕まで1000日に迫る東京オリンピック・パラリンピックだ。

情報処理推進機構(IPA)の市ノ渡佳明氏は「最近のサイバー攻撃の傾向からわかるのは、原子力発電所や製鋼所などがサイバー攻撃を受けた場合、東日本大震災のときと同様に電気が止まったり、それに伴って物資の供給が止まるといった被害が人工的につくられることがある」と語る。

現在、多くのサイバーテロ攻撃の発信元は国家レベルの諜報機関や軍によってなされている。サイバー攻撃をしている主体が、予算がほぼ青天井にある国家レベルの機関では、一企業がそれを防ぎ切るのは難しい。

それでは、今後どういった対策が必要なのか。ITセキュリティ企業大手ラックの川口洋氏は「企業が導入するセキュリティ対策のソフトや装置は、ウイルスの侵入を入り口で完全に防ぐことが目的のものでした。ですが、現在のサイバー攻撃は巧妙で、入り口では検知されず完全に防ぎ切ることはできません。仮にウイルスに入られた場合、素早くそれを認識し、被害を最小限にとどめる行動を取れるようにすることが必要になる」と指摘する。

これまでは社内のIT部門が中心になって進めていたサイバー攻撃への対策。しかし、製品の製造ラインなど現場の知識は十分ではない。そこで、IT部門と生産現場をまたいでセキュリティ対策に取り組むことができる人材の育成が急務となっている。

経産省としても異例の早さで実現したプロジェクト

今年4月、IPA内に日本の社会インフラや産業基盤をサイバー攻撃から守ることを目的にした「産業サイバーセキュリティセンター」が設立された。そして、7月にスタートしたのが企業内で対策にあたる人材の育成を目指す「中核人材育成プログラム」だ。

プログラムは1年間。所属企業の業務から完全に離れ、プログラムに集中する。期間中には派遣された社員の上司にあたる最高情報責任者(CIO)や最高セキュリティ責任者(CSO)の意識強化を目的にした短期集中セミナーも行われる。

これらのプログラムの立ち上げには経産省の伊東寛サイバーセキュリティ・情報化審議官が大きな役割を果たす。16年5月に民間企業から異例のサイバーセキュリティの第一人者として起用された人物だ。民間企業内でのセキュリティの脆弱性に危機感を持っていた伊東氏の肝いりでプログラムは産声をあげる。経産省時代から同事業を担当し、今年7月からIPAに出向し、引き続き同事業を担当する市ノ渡氏は「経産省としても異例の早さで実現したプロジェクトです。関係者の多さや予算規模からすれば通常は準備に2~3年かかります。一期生が東京オリンピック・パラリンピックの対応要員として役割を果たせるようにするには、17年にプログラムを開始するのがギリギリのタイミングでした」と語る。

この事業には16年の国の第二次補正予算で、25億円が計上された。IPAの通常年度の予算は40億円前後であることをみても、いかにこのプロジェクトに本腰をいれているかがわかる。市ノ渡氏は予算獲得後、プログラムの作成や開催場所の確保などに奔走してきた。

今年7月に開始したプログラムには65社から約80人が参加している。参加者の所属企業は電力、ガス、化学、鉄鋼、自動車、鉄道、住宅関連、マスコミなど日本を代表する大企業がならぶ。

1年間の研修プログラムの開発には、米国国家安全保障局(NSA)の元長官であるキース・アレキサンダー将軍が設立したアイアンネット・サイバーセキュリティの協力を仰いだ。市ノ渡氏は「サイバーセキュリティの最先端技術は、米国やイスラエルなどの軍組織から生まれます。民間企業の人材もその育成機関から輩出される。日本もその知見を取り込もうとキース・アレキサンダー将軍や米国国土安全保障省(DHS)の産業サイバーセキュリティの専門家チームに協力を依頼しました」と語る。

海外企業と比べると日本企業はサイバー攻撃に比較的弱いといわれる。その理由として指摘されるのが「IT・セキュリティ部門と、社内の他の部門との垣根が高いこと」(経産省・伊東審議官)だ。IT部門は会社の本業をすべては理解できておらず、利用する側はITを理解する余裕はない。長年いわれ続けてきたこの問題について、市ノ渡氏は「サイバー攻撃への対応を誤ると今まで以上の致命的な問題になります」と語る。「プログラムの修了者には、技術で自社を支えるだけでなく、他部門や経営層に、彼らにもわかる言葉で伝え、彼らを動かしてほしいと考えています」と続ける。

日本企業の弱点はどこにあるのか

ただ同時に、そうした取り組みが簡単には進まないことも自覚している。「サイバーセキュリティの文化がまだ根付いていない今、最初の修了者は社内で大きな反発に遭うこともあると思います。ですが、プログラムが続いて修了者が毎年企業に帰るようになれば、彼らの活動はどんどんやりやすくなるはず。産業界の意識を高め、サイバーセキュリティリスクに対応する人材・組織・システム・技術を生み出していくのが我々の役割だと思っています」と市ノ渡氏は語る。

今回の取材では、中核人材育成プログラムと並行して行われたIT・セキュリティ担当の役員を対象としたセミナーの模様を紹介する。

「あなたは黒松電力という電力会社の社員です。組織図はこのようになっており、あなたは情報セキュリティ担当役員の立場です」「社員数名に不審なメールが送られてきました。数日後、サーバーに異常が発生し複数のパソコンでメールが読みこめなくなりました。その知らせを聞いたとき、何の情報を収集しなければいけませんか?」「情報を掴んだら、その内容を誰に報告しますか? そのときどのように伝えますか?」「今回のトラブルでは、ウイルスの感染具合を調べるのに6割の社員のメールが24時間使用できなくなる可能性があります。どうやって現場責任者を説得しますか?」「社内の機密情報が漏洩している可能性があります。CEOや法務担当、広報担当とはどの段階で話し合いますか?」――。

参加者は3つのグループにわけられ、所属する企業の業種に応じて振りわけられる。この電力会社をモデルにした演習に参加していたのは電力、放送、ITシステム会社などからの参加者6名。それぞれ、社長やIT部門の責任者、セキュリティ部門の責任者など、社内での役割を割り振られたうえで、前述のような刻一刻と変わる被害状況が次々に提示される。提供される情報は共通するものも多いが、立場によって違う場合もある。一部の参加者には、実際の現場でも起こりうる誤って伝わった情報や、立場上得意先や現場の部下を重視しなければならず、対策に前向きに取り組めないなどの追加情報が渡されることもあった。

参加者はアイアンネット・サイバーセキュリティの元軍人講師から幾度となく「あなたはこの状況でどう振る舞いますか」と問われ、それに対して短時間で答え、決断を下していかなければならない。参加者同士で話し合うことも可能だが、ほぼ初対面の状況で高度なサイバーセキュリティについて積極的に発言するのが難しいのは、端から見ていても伝わってくる。

参加者は架空の企業の社員として振る舞うが、情報が足りない部分は日頃の自社での取り組みを思い返して補うことになる。すると参加者同士で議論をするうち、サイバー攻撃への一般的な対応技術が向上するだけでなく、ITの知識量の違いや、立場によって異なる優先順位の付け方が人によって異なることがわかってくる。

セミナー終了後に参加者に聞いたところ、「最先端のサイバーセキュリティを皮膚感覚で知ることができた。参考になる部分は多くあった」と収穫を語ってくれた参加者がいた一方で、「レベルが高すぎて理解できないことも多かった。これが求められる水準だとすると、当社のセキュリティレベルはかなり低い。相当いろいろ見直さなくてはならない」と話すある企業のIT部門のトップもいた。

イスラエルのサイバー部隊の取り組みを参考に

最高情報責任者など、役員レベルでIT部門を統括する人を対象としたセミナーであったが参加者の理解度には見事に差が出た。「当社にはサイバー攻撃を専門に対応する人材はいないし、誰が適任なのかもわからない」「OT(Operational Technology“現場の生産システム”)という言葉は聞いたことがなかったが、意味を知ったら当社はOTだらけだった」と語ってくれたのが印象的だった。

IPA産業サイバーセキュリティセンターでセンター長を務める日立製作所の中西宏明会長はこのセミナーの意義について「サイバーセキュリティの問題は企業の根幹を揺るがすレベルまできています。本来ならサイバー攻撃への対応を経営戦略に織り込んでもらわないといけませんが、いくらそれを声高に叫んでも現状ではなかなかわかってもらえない。サイバーセキュリティの基本的な考え方を確立し、企業が取り入れやすい形に落とし込むとともに、経営層のレベルでも正しい知識を持った人を増やしていくことが急務です」と力説する。5月のワナクライの被害を受けた企業のトップとしての自戒も込めて参加者に語っていた。

前述のマット・オルセン氏は「製造業に強みを持つ日本の課題といえるのは、これまでサイバー攻撃の対象と考えてこなかった現場の生産システムの部分です。すべてのものがネットにつながることはメリットは多いが、セキュリティの観点から見るとリスクは高まるのです」と語る。

この取り組みが成功するかどうかは、20年の東京オリンピック・パラリンピックが無事に終わるかどうかを見届けるまでわからない。ただ、経産省の伊東審議官の言葉は、今回の取り組みがサイバー攻撃に耐えうる社会への足がかりになるのではないかという期待を抱かせてくれた。「中核人材育成プログラムはイスラエルのサイバー部隊の取り組みを参考にしました。彼らは除隊後、官公庁や企業などさまざまなところに散らばりますが、何か問題が起きた際は、同じ釜の飯を食った仲間として横のつながりを使って問題に対処する。中核人材育成プログラムの修了者にも、そうなってほしいと思います」。

▼世界で相次ぐ大規模なセキュリティ被害
2014年12月:製鋼所で高炉が爆発
●ドイツ
ドイツの製鋼所のオフィスネットワークが感染。生産設備の制御システムに侵入され、不正操作によって溶鉱炉が停止できず設備が被害を受けた。


2015年12月:都市で大規模な停電が発生
●ウクライナ
変電所がサイバー攻撃を受け、ウクライナの都市イヴァーノ=フランキーウシク周辺で約23万世帯で6時間にわたる大規模な停電が発生した。
2017年5月:政府機関や企業が「身代金要求ウイルス」に感染
●日本ほか
身代金要求型ウイルス「ワナクライ」による被害が拡大。150の国や地域、PC30万台以上がメール停止やファイルを開けないなどの被害が出た。
2017年6月:原発システムが制御不能に
●ウクライナほか
ウクライナやロシア・アメリカなどでサイバー攻撃を受けた。ウクライナ・チェルノブイリ原発の放射線監視システムが制御を失い、自動から手動に切り替えられた。
アイアンネット・サイバーセキュリティ共同創業者 マット・オルセン
オバマ前政権下で2011年から2014年にかけて、国家テロ対策センターのディレクターを務めた。テロ情報の統合・分析と対策活動をリードした。現在は代表を務めると共に、ハーバード・ロースクールで教鞭をとり、ABC Newsの国家安全アナリストとしても活躍する。
 

経済産業省サイバーセキュリティ・情報化審議官 伊東 寛
1980年、慶應義塾大学大学院修了。同年、陸上自衛隊入隊。以後、技術・情報・システム関係の部隊指揮官・幕僚等を歴任。陸自初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。2007年に退職後、シマンテック総合研究所主席アナリスト、ラック ナショナルセキュリティ研究所所長などを経て、2016年5月より現職。