石油・ガスセクターについて知る

学習の目的

この単元を完了すると、次のことができるようになります。

石油・ガス (OG) セクターで拡大するデジタル脅威の状況を明らかにする。
グローバルな産業オペレーション環境をセキュリティ保護することの複雑性について説明する。
サイバー攻撃の防御におけるオペレーショナルテクノロジー (OT) の重要性について説明する。

このモジュールは世界経済フォーラム (WEF) の協力の下で作成されています。詳細は、Trailhead のパートナーコンテンツを参照してください。

始める前に

「サイバーレジリエンス」モジュールを修了している方は、サイバーレジリエンスの概要、サイバーレジリエンスを重視する理由、サイバーレジリエンスを確立するために必要なこと、取締役が組織のサイバーレジリエンスを推進して強化する方法をすでにご存知かと思います。ここでは、このトピックを掘り下げ、石油・ガス (OG) 業界におけるサイバーレジリエンスのあり方を詳しく見ていきます。世界でも特に込み入ったこの業界がアナログからデジタルへ、集中型から分散型へ、化石燃料から低炭素燃料へと多面的な移行を進める中で、企業のバリューチェーンにとってサイバーリスクを管理し、サイバー脅威を阻止することの重要性が急速に増しています。

デジタル脅威の状況

デジタル革命と時を同じくして化石燃料から低炭素燃料へとエネルギー源がシフトしたことで、OG 業界の数十年にわたるビジネスモデルがわずか数年のうちに刷新されています。OG セクターの未来は、デジタル化 (情報をデジタル形式に変換するプロセス) を実現して、グローバルなエネルギー資産とオペレーションの膨大なネットワークを管理し、利益を最大化して、安全性を高め、排出量を最小限に抑えることができるかどうかにかかっています。

企業は現在、物理的なエネルギー資産を制御するために、オペレーショナルテクノロジー (OT) を、ビッグデータや人工知能 (AI)、自動化を駆使する情報テクノロジー (IT) のネットワークに結び付けています。OT は、産業プロセス資産や製造/産業設備を監視して管理します。IT は、情報を処理する企業や機関、その他の組織が使用するあらゆる形態のテクノロジー (機器、サービス、技法) の総称です。

エネルギーセクターにとっては、こうした OT と IT 間の広範に及ぶ新たな連携が、効率性と耐障害性を備えた低炭素型オペレーションモデルの重要な要素になります。その一方で、こうした移行により、このセクターの重要なインフラストラクチャにサイバーリスクがもたらされています。OG 企業の資産やシステム、ネットワークは国家の生命線と考えられ、万が一機能不全に陥ることや破壊されることがあれば、国家に甚大な影響が及び、その安全保障や経済的安定、国民の健康が損なわれるおそれがあります。基幹的なインフラストラクチャとサプライチェーン全体の両方がサイバーリスクにさらされているため、OG 業界のビジネスモデルではサイバーセキュリティが中核的な検討事項になっています。

急速に変化するこの業界がサイバー攻撃の一歩先を進み続けるためには、OG 企業がイノベーションに劣らぬスピードでサイバーリスクの軽減に取り組んでいく必要があります。サイバーリスクとは、サイバー脅威が資産に影響を及ぼしたことによって組織が打撃を受けた場合に生じる可能性がある損失です。サイバーリスクは損失が発生する頻度とその影響度の推定値で測定されます。

サイバーリスクの管理で重要となるのがサイバーレジリエンスです。米国標準技術局 (NIST) によると、サイバーレジリエンスという用語は、サイバー脅威に対する組織のレジリエンスを意味し、特に適切なサイバーセキュリティ対策と事業継続計画 (COOP) の効果的な実施が重視されます。昨今の脅威の状況下で成功するためには、OG 業界の経営陣が組織のサイバーレジリエンスを継続的に向上させ、新出のリスクと既存のリスクを評価して、取締役、執行役員、主なセキュリティ担当者の間で意思の疎通を図る必要があります。

OG 業界の取締役と執行役員は、組織のサイバーレジリエンスの推進において重要な役割を果たします。取締役は、経営戦略を念頭に、会社と、その関係者や株主の利益に影響を及ぼす全社的なリスクを特定し、その対応計画を立てることを責務とする企業の受託者です。会社の産業オペレーション環境をデジタル化すれば、競争優位性が高まる一方で、操業停止を狙うサイバー脅威への露出が増大するという状況で、取締役にはそのバランスを模索することが求められます。

執行役員は、サイバーレジリエンスを管理する組織の能力について報告する説明責任を担います。最高情報セキュリティ責任者 (CISO) は通常、サイバー脅威からデジタルインフラストラクチャを保護し、事業を継続させることを目的とする組織のサイバーレジリエンスプログラムを統括する立場にあります。

2025 年までに産業用機器の接続数が 370 億に上ると見込まれていることから、OG 業界はデジタル化によって、アナログ式の設備で作業する産物ベースの事業から、かつてないスピードでリスクを基に判断を下す AI 駆動の遠隔操業による自動化産業へと急速に移行しています。OG 業界の産業用機器の接続の一例として、石油タンクの在庫量を監視し、空にする必要が生じた時点で自動的にトラックを向かわせるセンサーが挙げられます。また、地上ポンプのパフォーマンスを監視して問題をメンテナンスチームに知らせることや、安全上の懸念を従業員に警告して負傷や死亡事故を未然に防ぐこともできます。石油タンクセンサーのリアルタイム通知により、ポンプ採油を継続しながら、原油在庫の輸送を最適化すれば、ダウンタイムのコストを最小限に抑えることができます。

陸上の石油タンクとつながっているトラックや地上ポンプ

こうしたデジタルトランスフォーメーションが進む中、悪意のある攻撃者の間では、金銭的、犯罪的、地政学的な利益を目的にサイバー攻撃を仕掛ける恰好の標的となったエネルギー業界に対する関心が高まっています。他方、OG 企業の多くは自らをデジタル企業とは考えていないため、産業オペレーション環境を保護する十分なサイバーセキュリティのテクノロジー、システム、人材、プロトコルを備えていません。

産業オペレーション環境をセキュリティ保護する

OG セクターは、さまざまな事業、資産、人員が世界各地に分散する大規模な組織を運営し、お客様やサプライヤーの複雑なサプライチェーンと提携していることから、本質的にサイバーセキュリティは厄介な問題です。多くの OG 企業では、事業のオペレーションシステムがそれぞれ孤立した状態から完全統合された状態に移行した結果、サプライチェーンが複雑になり、上流、中流、下流のビジネス間の相互依存が高まっています。

こうしたデジタル相互依存により、潜在的なサイバー攻撃の影響が拡大しています。さらに、従来の設備は、セキュリティの脆弱性や、昨今のオペレーション環境に求められる相互接続を想定して製作されていないため、この業界の根幹的なテクノロジーを刷新する際の課題になっています。

サイバーセキュリティの強靭なテクノロジーやプロトコルを持ち合わせていない企業は、適切なサイバーハイジーンや、脆弱な機器を監視して防御するソリューションの導入に優先的に取り組もうとはせず、気付いたときには、商品やサービスを効率的に供給して信頼を得ている同業他社と競争できなくなっています。多くの場合、システムが相互接続されたものの、責任の所在がサイロ化されていたり、共有している多数のパートナー間で優先順位が異なるため、サイバーハイジーンの問題に直面しています。サイバーセキュリティの複雑性に嫌気がさしている組織も多く、OT 環境と IT 環境の両方をセキュリティ保護しなければならない場合には特にこの傾向が顕著です。

OT を使用してサイバー攻撃から守る

サイバー攻撃を防ぐ OT の重要性に対する理解を深めるために、ある例を見てみましょう。Erika は OG 精製企業の取締役です。知らぬ間に、悪意のある攻撃者が数年かけて OT を標的とするマルウェアを使用して精油所のサイバー防御を突破し、OG 生産に使用する安全システムを狙っていました。マルウェア (malicious software (悪意のあるソフトウェア) の略語) は、感染、密偵、窃取など攻撃者が望むほぼすべての動作を実行するファイルまたはコードで、通常はネットワーク経由で配信されます。

OG 企業のセキュリティチームに検知されなかった 3 年間のうちに、攻撃者は精油所の安全システムを破壊するマルウェアを起動していました。ところが、攻撃を仕掛けたときにマルウェアにエラーが生じ、意図していた深刻な物理的損害を引き起こす代わりに、プラントがシャットダウンしてしまいました。

攻撃の直後、プラントのセキュリティ担当者とサードパーティは、突然のシャットダウンの直接的な原因がサイバー攻撃であるとは思ってもいなかったため、根本原因としてこの可能性を調査しませんでした。マルウェアが有効のまま 1 か月を経過後、攻撃者が再び精油所の安全システムを破壊しようと試みました。今回の狙いはさらに重要なインフラストラクチャを停止させることでした。幸いにも、別のエラーによって攻撃者の試みはまたもや失敗しました。調査を進める中で、プラントのセキュリティチームが OT の専門家にシャットダウンの調査への協力を依頼しました。2 度目の調査後、セキュリティの専門家は、攻撃者がプラントの OT システムを操作していたことを突き止めました。

このセキュリティインシデントから復旧してフル稼働するまでに 70 日以上を要し、数千万ドルが費やされました。こうした攻撃は珍しいことではないため、対策が講じられ、インシデント対応計画の予行演習が行われていれば、検知されていたものと思われます。つまり、対策が講じられていたならば、時間の損失と攻撃による影響が大幅に軽減されていたと考えられます。

このインシデントでは攻撃者のエラーによって物理的な損害は免れましたが、取締役会がガバナンスを発揮すれば、組織が重要な安全性インフラストラクチャを狙った OT サイバー脅威に対するレジリエンスを高めることができ、また高めるべきです。Erika は取締役として、このようなインシデントが繰り返される可能性を最小限に抑えるために、こうした対策の導入を推進する責任があります。

OG 業界のサイバーリスクの 6 つの原則

概して、組織の取締役会は、企業の財務上、法務上、戦略上、倫理上の決定に伴う安全性とセキュリティに対して最終的な説明責任を全面的に担う立場にあります。小規模な組織では、該当するサイバーリーダーがこの原則に従ってサイバーレジリエンスを向上させることができます。これ以降は、取締役が監視者の役割を果たし、サイバーレジリエンスを向上させるための実行可能なインサイトを得るためのガイダンスをご紹介します。

サイバーレジリエンスの責任を担う執行役員は、組織のセキュリティ、そして成功にとってサイバーレジリエンスが重要である理由を取締役会に明確に伝える必要があります。このモジュールでは、執行役員や管理職を対象に、サイバーレジリエンスの原則を導入して、取締役とのリスクに関するコミュニケーションを促進するための推奨事項を説明します。

世界経済フォーラム (WEF) によると、OG 企業の取締役会がサイバーセキュリティへのアプローチを確立させる際に役立つ 6つの原則が存在するということです。次の単元で、この原則の詳細を見ていきます。

ヘルプをお探しですか?