ポッドキャスト：エネルギー転換は、迅速に、クリーンに……そしてサイバーセキュリティも確保できているか？

Josh Flanagan: 

皆さま、こんにちは。そして世界中でお聴きいただいているリスナーの皆さま、ありがとうございます。LRQAのポッドキャスト「Future in Focus」へようこそ。Josh Flanaganです。本日は、現在エネルギー転換が直面している最も大きな課題の一つについて考えていきます。それは、迅速でクリーンであるだけでなく、安全でレジリエンスのあるエネルギーシステムをどのように実現するか、というテーマです。

本日は、LRQAのManaging Director for CybersecurityであるHoward Hughesと、EVP for Asia PacificのFotis Kampourisをお迎えしています。Howard、Fotis、本日はご参加いただきありがとうございます。

今回のエピソードでは、洋上風力、水素、原子力、送電網の変革に至るまで、世界各地で進むエネルギー転換プログラムの規模とスピードについて掘り下げます。デジタル化の進展がリスク環境をどのように変えているのか、エネルギーインフラがなぜサイバー攻撃の標的としてますます注目されているのか、そして組織はセキュリティを損なうことなく、本当にスピード感を持って実行できるのかを考えます。また、この分野における優れたリーダーシップと監督体制とは実際にどのようなものなのか、さらに何十年にもわたって安全に稼働し続ける必要のある資産を構築するうえで、なぜコンプライアンスだけではもはや十分ではないのかについても取り上げます。

まずはFotisに伺います。リスナーの皆さまに全体像を描くために、現在世界各地で進んでいる主なエネルギープロジェクトについて簡単にご紹介いただけますか。どの分野で最も勢いがあり、現在の地政学的な不安定さは、こうしたプロジェクトがどこで、どのように開発されるかにどのような影響を与えているのでしょうか。

Fotis Kampouris: 

Joshさん、お招きいただきありがとうございます。非常に良い質問であり、現在起きていることに深く関わるテーマです。世界全体の動きを俯瞰すると、その活動規模は非常に大きなものになっています。中国、インド、中東、オーストラリアでは、大規模な太陽光発電所や洋上風力発電所が建設されており、それと並行して送電網の相互接続や蓄電への大規模投資も進んでいます。発電しても送電できなければ、別のボトルネックが生まれるだけだからです。

同時に、報道でもご覧の通り、原子力が再び注目されています。特に欧州、米国、アジアの一部地域でその動きが見られます。また、水素や炭素関連の取り組みも、構想段階から実際のプロジェクトへと移行しつつあり、重工業やエネルギー安全保障を支えるパイプライン整備も進んでいます。

変化しているのは、エネルギー転換がもはや単なる脱炭素化のストーリーではなく、エネルギー安全保障のストーリーになりつつあるという点です。各国政府や投資家は、重要な部品や設備がどこから調達されているのか、脆弱な供給ルートにどの程度依存しているのか、そして地政学的により分断された環境の中でもシステムが引き続き稼働できるのかを問い始めています。

方向性は明確になりつつあります。より大規模で、より迅速で、より相互に接続されたプロジェクトが必要です。しかしそれは、はるかに不安定な世界の中で実現しなければなりません。

Josh Flanagan: 

ありがとうございます、Fotis。Howard、次はあなたに伺います。こうしたプロジェクトの多くは、すでにしばらく前から進められています。サイバーセキュリティはいつ頃から議論の一部になったのでしょうか。また、なぜ今、これらのプロジェクトはサイバー攻撃の優先度の高い標的となっているのでしょうか。

Howard Hughes: 

ありがとうございます、Fotis。そしてJosh、ありがとうございます。おっしゃる通り、こうしたプロジェクトは業界にとって新しいものではありません。ここ数年で変わった点はいくつかあります。

まず一つ目は、脅威アクターの高度化です。彼らは非常に高い能力を持っています。国家の支援を受けている場合には、事実上、予算に制限がないこともあります。サイバーセキュリティ企業が使用しているあらゆるツールや手法は、高度な脅威アクターも同じように使っていると考えるべきです。つまり第一に、攻撃者の能力が大幅に高まっているということです。

二つ目として、世界各地に多くの事例がありますが、サイバー攻撃がより物理的な軍事作戦の一部として使われた最初の例は、10年以上前にイランの核濃縮施設を標的としたStuxnetでした。これは実質的に、軍事的・政治的作戦の一環として使用されたOT、つまり運用技術の兵器でした。その後も、同様のことは繰り返し起きています。現在の中東情勢を見ても、物理的な作戦の一部がサイバーセキュリティ活動によって支えられていることが分かります。

三つ目は、Fotisが述べた点にも関係しますが、私たちは以前よりはるかにネットワーク化された世界に生きているということです。再生可能エネルギーと従来型エネルギーを組み合わせたシステムは、いずれもネットワーク化される必要があります。人々は送電網を通じてエネルギーを共有したいと考えています。しかし、その接続性、さらに他のネットワークへの接続が広がることで、「攻撃対象領域」という言葉をお聞きになったことがあると思いますが、その攻撃対象領域は拡大します。つまり、標的が大きくなるのです。ネットワーク化されておらず、システムが分断されていた時代には、脅威アクターは個々の発電会社や配電事業者を個別に狙う必要がありました。しかし今では、相互接続が進んだことで、一つのネットワークを攻撃すれば、そのネットワークが供給する下流のエネルギー全体を攻撃することにもなり得ます。

非常に重要な時代に入っています。私はOTについて何度か触れましたが、これはLRQAが現在取り組んでいる領域でもあります。あえて課題を挙げるとすれば、私たちはその取り組みを十分に発信できていないという点です。そして、それは今後もっと発信していく必要があります。LRQAは現在、OTテストを実施しており、今後はOTモニタリングや、運用技術に関連するその他の取り組みも進めていきたいと考えています。

Josh Flanagan: 

ありがとうございます、Howard。地政学的な出来事、最近の中東における不安定化を含め、エネルギー市場やインフラがいかに短期間で混乱し得るかを私たちは目の当たりにしてきました。こうした状況を踏まえ、組織はエネルギー転換における長期的なレジリエンスをどのように考え直すべきでしょうか。特に、場合によっては数十年にわたって安全に稼働し続ける必要のある資産についてです。Fotis、まずあなたからお願いします。その後、Howardにはサイバー面からいくつかポイントを補足いただければと思います。

Fotis Kampouris: 

その通りです。Joshがおっしゃったように、こうした資産は10年、20年、30年、あるいは原子力の分野であれば50年にわたって稼働し続ける必要があります。最近の中東における不安定化は、エネルギーシステムが物理的な脅威とデジタル上の脅威の両方にさらされていることを、改めて多くの人に認識させました。私たちはしばしば、効率性や出力を重視してこうした資産を設計しますが、必ずしも混乱や障害を前提に設計しているわけではありません。そこが課題です。なぜなら、エネルギーの安定供給を支えるためには、これらのシステムが非常に長い期間にわたって安全に稼働し続ける必要があるからです。

現在では、レジリエンスを最初の段階から設計に組み込む必要があります。以前は、それが十分に行われていませんでした。つまり、サプライヤーを多様化し、強い依存関係を批判的に見直し、サプライチェーンの可視性を高め、そしてHowardが先ほど述べたように、運用モデルの中にデジタルレジリエンスを組み込んでいく必要があります。私たちの考え方は、最適化から耐久性へと転換しなければなりません。そして、こうした考え方でシステム設計を始める企業こそが、今後優位に立つことになるでしょう。そこに、サイバーセキュリティとサイバーレジリエンスの戦略的な位置づけがあります。そして、それこそが私たちがクライアントと共に取り組んでいる領域です。Howard、お願いします。

Howard Hughes: 

ありがとうございます、Fotis。その大部分は、文化から始まるものでもあります。つまり、取締役会レベルで可視化されているかどうかです。何かを設計し、構築し、導入した後で、セキュリティを後付けするべきではありません。

LRQAが顧客基盤に対してできることの一つは、セキュア・バイ・デザインのような考え方を理解してもらうことです。これは、設計のあらゆる段階でネットワークにセキュリティを組み込むという考え方です。また、ゼロトラストモデルの7つの柱のように、設計のすべてのレイヤーを評価し、それぞれのレイヤーが安全であることを確認する考え方もあります。

したがって、まず重要なのは文化と意識です。組織のトップ、取締役会レベルから現場に至るまで、その意識が必要です。昨年、世界で発生した成功した侵害の96％は、ビジネスメール詐欺に起因していました。誰かがメールに届いた偽のAmazonギフトカード、もちろん他のギフトカードの場合もありますが、それをクリックしてしまう。本人は良いことをしていると思っている。すると突然、そのコンピューターにマルウェアが入り、ネットワーク上のポートが開かれてしまう。だからこそ、文化、意識、そしてトレーニングが重要なのです。

もう一つは、脅威アクターによるテクノロジー導入のスピードを考えると、ある特定のマインドセットを持つ必要があるということです。これは少し恐ろしい考え方かもしれません。クライアントとの会話に臨むすべての人には、侵害は起こる、脅威アクターは成功する、という前提から始めることを勧めたいと思います。そうすると問いは、侵害された場合に何をしなければならないのか、というものになります。復旧、インシデント対応、災害復旧や事業継続計画の演習です。私たちのクライアントのうち、災害復旧演習の一環として、質の高い取締役会レベルのシミュレーションを定期的に実施している企業はどれほどあるでしょうか。サイバーはその一部です。

つまり、攻撃者がより高度化し、その数も増え、その多くが国家の支援を受けている中で、ここにはマインドセットの転換が必要です。こうした脅威アクターのグループには、非常に高度なツールと専門家がいると想定すべきです。防御に成功すると考えるのではなく、侵害されたときに備えて演習を行うべきです。

営業の観点から言えば、他にもいくつかあります。先ほど取締役会レベルのシミュレーションやフレームワークに触れました。例えばNISTのようなフレームワークです。何が優れた状態なのか分からない場合は、業界で認められたベンチマークに照らして、自社の現在地を評価することが重要です。定期的なテストも必要です。従来型のペネトレーションテストのように外部から内部を確認するテストだけでなく、攻撃者の視点からのテストも含まれます。レッドチーミングを考えてみてください。チームが攻撃者の役割を担い、防御体制を検証するものです。

つまり、私たちが現在提供している取り組みの中には、エネルギー業界だけでなく、すべてのクライアントが活用できるものがあります。

 Josh Flanagan: 

ありがとうございます、Howard。質問を進めていくにあたり、このテーマがなぜ非常に難しく感じられるのかについても話しておくことが重要だと思います。大規模なエネルギー転換プログラムにおいて、サイバーリスクは一般的にどこで見落とされやすいのでしょうか。誰が最もリスクにさらされていて、それはなぜなのでしょうか。Fotis、この点についてまずお伺いします。

Fotis Kampouris: 

良い質問です。これまでの経験を通じて、私は数多くのエネルギープロジェクトに関わってきましたが、サイバーリスクは通常、かなり早い段階で見落とされていると言えます。プログラムがまだ、長期にわたって稼働する運用資産としてではなく、エンジニアリング、調達、デリバリーの取り組みとして個別に捉えられている段階です。冒頭でもお話ししたように、こうした資産は20年、30年、40年、50年以上にわたって稼働し続ける必要があります。

エンジニアリングチームには、迅速に進めることへの大きなプレッシャーがあります。予算も非常に厳しく精査されています。主要な設計やサプライヤーに関する意思決定は、サイバー要件が関わる前に固定化されてしまいます。ここでLRQAは、ベンダー評価、サプライチェーンマネジメント、品質・安全に関するソリューションを通じて支援できます。これらの要素を独立した立場から確認し、さまざまな買い手やサプライヤーがリスクを低減できるよう支援できるからです。

最もリスクにさらされているのは、多くの場合、責任範囲が分断された組織です。設計を担当する企業、調達を担当する企業、統合を担当する企業がそれぞれ異なることは珍しくありません。そのような環境では、誰もがサイバーは重要だと言います。しかし、誰も責任を取ろうとはしない。最終的な意思決定者、通常はオーナーに任せてしまうのです。私にとって、ここが課題です。問題は無知ではありません。サイバーが中核的なデリバリーリスクとして扱われていないことです。そしてサイバーは、重要なデリバリーリスクとして位置づけられる必要があります。

Josh Flanagan: 

素晴らしいですね。これまで、組織が陥りがちな誤りについてお話ししてきましたが、ここで適切な監督体制とは実際にどのようなものなのかについても取り上げたいと思います。Howard、まずあなたに伺います。

Howard Hughes: 

ありがとうございます。最近の事例を一つ挙げたいと思います。エネルギー企業ではありませんが、大手運輸企業における、同じく重要な国家インフラのサイバーセキュリティプログラムです。

その企業の取締役会では、会議の冒頭に安全に関するブリーフィングがあり、その次にサイバーセキュリティに関するブリーフィングが行われていました。つまり文字通り、取締役会で二番目に扱われる議題がサイバーセキュリティだったのです。現在どのような脅威が存在するのか。前回の報告期間中に侵害はあったのか。財務や運用指標の後ではなく、会議の冒頭で取り上げられていました。安全、サイバー、そして財務、人材、営業と続く流れです。ここには文化的な変化があります。適切な状態とは何か、という質問への答えの一つがこれです。まず文化から始めることです。

予算策定のプロセスにおいて、従来サイバーは、ある種の後付けとして扱われてきました。ベストプラクティスは、変革プログラムの最初の段階からサイバーを組み込むことです。売上の1％といった指標を機械的に当てはめるだけではありません。重要なのは、このシステムを安全に保つために何が必要なのか、という問いです。理想的には侵害を防ぐこと、そして万が一侵害された場合でも、事業継続が機能し、顧客やクライアントへのサービス提供を続けられる状態を維持するために、何が必要なのかを考えることです。

最後にもう一つ加えるとすれば、取締役会レベルでの報告と、常時の可視性です。良いことも悪いことも含めてです。赤信号を恐れてはいけません。私たちは、非常に詳細なレベルで取締役会向けの報告を多く作成するよう求められてきました。取締役会は、直近の侵害の詳細を知りたがっていました。つまり、これは文化の変化であり、ある程度のマインドセットの変化でもあります。しかし、十分に実現可能なことです。そしてLRQAは、エネルギー事業者と連携し、こうした能力を提供していくことを目指す企業です。

Fotis、あなたはどうお考えですか。ほかに付け加えたい点はありますか。

Fotis Kampouris: 

ありがとうございます、Howard。文化と責任という観点を非常に分かりやすく説明していただきました。私から付け加えるとすれば、コンピテンシーの面もあると思います。リスクの変化が非常に速いため、必要なSMEや専門家をすべて社内にそろえることは非常に難しくなっています。

ここでLRQAが支援できます。設計・調達から運用、そして時間の経過に伴う変更に至るまで、ライフサイクル全体を通じたLRQAの統合的なリスクマネジメントの強みを活かし、クライアントに寄り添いながら、日々何が起きているのかを理解できるよう支援します。

Josh Flanagan: 

ありがとうございます。本当に貴重なインサイトですね。そこから受け取るべき点の一つは、このテーマが一部の企業やプロジェクトにとって、非常に手に負えないものに感じられる場合があるということだと思います。サイバーレジリエンスに取り組むうえで、リスナーの皆さまはどこから始めるのがよいのでしょうか。Howard、お願いします。

Howard Hughes: 

従来から、そして今でも有効な考え方ですが、まずは一つのコンプライアンスフレームワークを選び、それに照らして自社を評価することです。こうしたフレームワークは長年にわたって使われてきました。NISTは評価の基準として有効です。ISO 27000も有効な基準になります。いずれかを選び、その指標に基づいて自社を評価し、チーム全体をその取り組みに巻き込んでいくことが重要です。

従来、人々はシステムを構築し、それをテストしていました。「今年はペネトレーションテストを4回実施する」「今年は脅威ハンティングを1回実施する」といった形です。しかし今、業界で起きている変化の一つは、継続的に考えなければならないということです。私たちは毎日正しく対応しなければなりません。一方で、脅威アクターは一度成功すればよいのです。国家の支援を受けた脅威アクターがシステムへの侵入を狙う場合、成功する必要があるのは一度だけです。私たちは毎日、防御に成功し続けなければなりません。

そのため、継続的な攻撃対象領域のモニタリングが重要になります。年に数回テストを行ったり、四半期ごとにペネトレーションテストを実施したりするだけではなく、自社の資産全体を継続的に把握するという考え方です。モニタリングには、継続的なアプローチが必要です。

直近2週間のニュースで、Anthropicがリリースした最新モデルについてご覧になった方もいると思います。Glasswingプログラムを通じたMythosでは、重要な国家インフラネットワーク上で20年以上前から存在していた脆弱性が発見されました。

その一部は、基本的な衛生管理の問題です。自社の環境で問題を見つけた場合、その日、その時間、その瞬間にパッチを適用する必要があります。なぜなら、それは開いたままの状態であり、こちらが見つけたのであれば、脅威アクターも必ず見つけると考えるべきだからです。

そして、シミュレーションの実践です。一定レベルの適合性を確保し、改善を継続するためのロードマップを持った後は、自社システム上で侵害を継続的にシミュレーションすることが重要です。LRQAのような外部企業を活用し、想定外の事態を想定するのです。従来型の攻撃だけではなく、自社では考えていなかったような少し異なる攻撃シナリオを検討し、それを繰り返し訓練することが必要です。

これらは、私たちが議論すべきベストプラクティスの一部だと考えています。

Josh Flanagan: 

本日はお二人とも、非常に示唆に富んだご回答をありがとうございました。最後にお伺いします。エネルギー転換を守るために、組織が行うべきマインドセットの転換を一つ挙げるとすれば、何だと思いますか。まずはFotisからお願いします。

Fotis Kampouris: 

組織の話に入る前に、少しその先の視点からお話ししたいと思います。エネルギー転換は、私たちがこれから向かう最も根本的な成長段階であり、政府からの支援も必要です。政府は、さまざまなフレームワークをより簡素化し、相互に連携しやすくする必要があります。なぜなら、サイバーセキュリティを取り巻くネットワークについて考えるとき、例えばフランスと英国、あるいは日本と韓国を結ぶ電力網を想像してみてください。規制や規格が異なれば、接続することも、同じ言語でコミュニケーションを取ることも、はるかに難しくなります。だからこそ、政府や各規制機関による規制フレームワークの変革が必要なのです。

組織に関して言えば、そのスピードで前に進むためには、サイバーとレジリエンスを、後から組み込むものではなく、今すぐ対応すべきものとして捉え始める必要があります。これは初日からデリバリーの一部でなければなりません。サイバー対応を誤った場合のコストは、極めて大きなものになり得ます。エネルギーを失う可能性があり、サプライチェーンを失う可能性があり、そして何よりも、評判に大きな損害を受ける可能性があります。ここ数週間の中東情勢と、それが引き起こした問題を私たちは目の当たりにしてきました。

ですから、私にとって必要なマインドセットの転換は非常にシンプルです。スピードとセキュリティは、相反する優先事項ではありません。私たちは迅速に進める必要があります。しかし同時に、私たちは常に非常に不安定な世界に生きていることを忘れてはなりません。そして、その中で前に進むことを可能にするのがレジリエンスなのです。

Howard、お願いします。

Howard Hughes: 

文化についてもう一度触れたい気持ちもありました。私にとっては、それが最も重要だと思っています。ただ、ここでは別の点を挙げます。それは、対応のスピードです。国家の支援を受けた脅威アクターや、組織化された犯罪グループには、事実上、予算に制限がないと考えるべきです。彼らは会議に出る必要もなければ、許可を求める必要もありません。標的を見つけ、適切なツールと手法を持ち、迅速に動こうとします。

だからこそ、LRQAのようなパートナーを見つけ、そのパートナーを自社のエコシステムに組み込み、LRQAがスピード感を持って支援できるようにすることが重要です。新しいメールゲートウェイの導入を次の四半期まで待つべきではありません。ファイアウォールの更新予算を来年まで待つべきでもありません。年4回のペネトレーションテストを実施していれば十分だと考えるべきではありません。それが「良い状態」だったのは1990年代の話です。今は、「明日テストを実施する」という発想が必要です。

LRQAは最近、AIペネトレーションテストを開始しました。これはエージェントを活用し、より効果的に、より迅速に、スピード感を持って、ほとんど予告なしでもテストを実施できるものです。つまり、「来月テストを予約したい」ではなく、「明日テストを実施したい」という対応が可能になります。

重要なのは、この領域には緊急性があることをクライアントに理解してもらうことです。なぜなら、待っている一日一日が、脅威アクターが貴社のネットワークを偵察し、専用に作り込まれたマルウェアを作成する時間になるからです。それは、これまで一度も使われたことのないゼロデイである可能性もあります。もしそれが貴社のネットワークに投入されれば、防御策では十分に防ぎきれないかもしれません。

ですから、私にとって重要なのは、文化と変化のスピードです。

Josh Flanagan: 

お二人とも、ありがとうございました。これで本日のエピソードは終了となります。貴重なインサイトを共有いただき、ありがとうございました。そして、リスナーの皆さまもお聴きいただきありがとうございました。

本日は、エネルギー転換が単にスピードや規模の問題ではなく、レジリエンスの問題でもあることを掘り下げました。エネルギーシステムがより相互に接続され、地政学的リスクやサイバーリスクにさらされる中で、組織はサイバーセキュリティを後付けではなく、初日から中核的なデリバリー優先事項として扱う必要があります。

エネルギー転換のライフサイクル全体を通じたリスクマネジメントや、LRQAのサイバーセキュリティサービスについて詳しく知りたい方は、lrqa.comをご覧いただくか、お問い合わせください。

お聴きいただきありがとうございました。次回のエピソードでお会いしましょう。