ハッカーの標的になるダム、国はサイバー対策の強化対象に含めず
https://xtech.nikkei.com/atcl/nxt/column/18/02165/081900003/
国が重点的にサイバー防衛を強化する重要インフラ。その枠外のダムでは、サイバー攻撃への対策の遅れが目立つ。
ダムでサイバー対策が求められているのは、大規模水害などを招く恐れがあるからだ。
大雨時、ダム放流ゲートの遠隔装置がハッカーに乗っ取られて急にゲートが全開になれば、突然の放流となるため下流側は危機的状況に陥る。
その際、下流エリアの住民に及ぼす影響はどの程度になるだろうか。サイバー攻撃とは関係ないが、上流のダムで異常洪水時防災操作を実施した2018年西日本豪雨での愛媛県の水害事例を参考に考えてみよう。
事前の周知が不十分だったといわれており、下流域の西予市と大洲市では約3500棟が浸水し、9人が亡くなった。
ダムが予兆なくサイバー攻撃を受けると、同様の被害またはそれ以上になることは容易に想像がつく。
それだけ影響度は大きいにもかかわらず、政府がサイバー対策を重点的に進める分野を示した「重要インフラ」に、ダムは直接該当しない。
重要インフラとは国民生活や経済活動の基盤となるインフラのうち、機能の低下などで特に大きな混乱を招くと見込まれるものを指す。
重要インフラに該当するのは、航空や鉄道、水道、電力、政府・行政サービスなどの14分野。ダムは、政府・行政サービスなどで間接的に関わってくるのみだ。
重要インフラの事業者は、内閣官房内閣サイバーセキュリティセンター(NISC)との連携を強化することになる。
例えば、NISCの用意したシナリオを基にサイバー対策訓練を実施したり、サイバー攻撃を想定したBCP(事業継続計画)の作成でNISCの支援を受けたりする。
他にも、事業者と所管省庁、NISCとの情報共有体制を構築できる。
政府は近年、インフラ分野のサイバー防衛を強化する姿勢を見せる。22年6月、重要インフラ事業者のサイバー対策の方向性を示す「行動計画」を、5年ぶりに改定。
対策の不備で情報漏洩した場合は経営陣が「賠償責任に問われ得る」と明記した。同年5月には、経済安全保障推進法を成立。
サイバー攻撃などから、基幹インフラの安全を確保することを柱の1つに掲げた。ただここでも、ダムは基幹インフラの対象外だ。
以下ソース
https://cdn-xtech.nikkei.com/atcl/nxt/column/18/02165/081900003/02.jpg
