サイバー関連ニュース：脆弱な原子力発電所、サイバー軍事力の…抑止？

今回は、私が何年も前からしつこく言い続けてきた事柄に関する「ニュース」、というか近況について、ちょっと言わせてもらいたい。「だから言ったじゃないか」というのは嫌いだが、今回は「だから言ったじゃないか」と言わずにいられない。

その1

フランスのカットノン原子力発電所（写真は無作為に選んだもの）。サイバーセキュリティについてはトップレベルの設備であるはずだ。

私は以前から、産業界やインフラ分野のサイバーセキュリティの問題について認知向上に努めてきた。どれくらい前かというと、15年以上前からだ。最近は世界中の国家機関、研究機関、報道機関、一般の人々がこの問題について議論することが増えている。ただ、何とも残念なことに、議論は活発でも、物理的、法律的、外交的、その他もろもろの「～的」な施策の実施という点で具体的な進捗は依然としてはかばかしくない。このことを改めて思い知らされる例をここに紹介する。

先日、定評ある英国のシンクタンク、チャタムハウス（英国王立国際問題研究所）が、『Cyber Security at Civil Nuclear Facilities: Understanding the Risks』（原子力発電施設のサイバーセキュリティ：リスクを把握する）と題する報告書（英語）を発表した。そう、タイトルを読んだだけでも寒気がするが、その内容の方は…悲鳴を上げたくなるほどだ。

ここで詳しくは立ち入らない。興味のある方（そして時間がたっぷりある方）はご自分で報告書を読むといいだろう。ここでは、報告書の要点を述べるに留める。それは、「世界中で、原子力発電所に対するサイバー攻撃のリスクが上がっている」というものだ。なんとなんと。

この報告書は、専門家への取材だけを論拠としている。つまり、第三者が確認できる主たる根拠は示されていない。ううむ。例えるなら、エロティックな映画の内容を言葉で説明してもらっている感じと言えなくもない。つまり、映画そのものを観るのとは比較にならない。とはいえ、さもありなんという気はする。原子力エネルギー業界というのは、世界中どこでもおしなべて、秘密主義だからだ。

とにかくこれから、私が聞いた（報告書で読んだ）説明を元に、「その映画がどんな映画か」説明してみよう！せめてその報告書で示されている主な結論ぐらいは以下に紹介しよう。どれも、真面目に考えてみれば、実に不吉な警告だ。

1. 原子力発電所のコンピューターネットワークでは、物理的な分離というものは架空の概念であり、実在しない（なお、どこかは不明だが調査対象となった発電所を根拠としており、具体的な例は示されていない）。報告書によると、原子力発電所ではVPN接続が（多くの場合請負業者によって）よく使用されているが、文書で記録されない（公式に申告されない）ことが多く、実際には本稼動し利用可能[つまり悪用可能]な状態でありながら忘れられていることがある。
2. インターネットでShodanなどの検索エンジンを使えば、インターネットに接続されている産業用システムが次から次へと表示される。
3. 物理的な分離が存在するとしても、USBメモリを使えば簡単に回避できる（Stuxnetの場合のように）。
4. 世界中のどこの原子力エネルギー業界もサイバー事件に関する情報共有に積極的でないため、セキュリティ事件があった場合にその影響範囲を正確に把握することが難しくなっている。また、他の業界と協力することもあまりないため、他業界の経験やノウハウから学ぶこともない。
5. コスト削減のため、業界内で一般の（脆弱性のある）市販ソフトウェアが使用されるケースが増えている。
6. 産業制御システムの多くは、「設計上セキュアでない」。その上、制御対象のプロセスを中断させずにパッチを適用するのは非常に難しい。
7. 他にも多くのことが、全部で53ページにわたる報告書に記されている。

このような恐ろしい事実や説明は、ITセキュリティの専門家にとっては特に目新しいものではない。それでも、これほどの注目を集める発行物であれば、変化のきっかけになることを期待したい。目下のところ最優先すべきは、ひとつひとつのソフトウェアにできるだけ早くパッチを適用することと、同業界のITセキュリティ全般を安全といえるレベルまで強化することだ。壊滅的な事件が起きた後ではなく、起きる前に。

特に同報告書では、「設計上セキュアな」産業制御システムの導入を推奨している。大賛成だ！当社はその考えを全面的に支持する！当社のセキュアOSプロジェクトも、そうした取り組みの1つだ。SCADAなどの産業制御システムを侵入不可能にするためには、サイバーセキュリティ原則の全面的な刷新が必要だ。あいにく、その実現までの道のりは長く、我々は初めの一歩を踏み出したばかりだ。とはいえ、少なくとも、向かうべき方向は全員がきちんと認識している。よちよち歩きではあるが…

その2

数年前から、私はサイバー戦争が勃発しないための国際協定を策定するよう提唱してきた。そのような協定の必然性について、さまざまな関係者（学識者、外交関係者、政府、国際組織など）が理解を示すようになってきた兆候はあるものの、そのような協定に向けた具体的な進捗は現段階ではまだほとんど見られない。産業用システムの保護対策とまったく同じ状況だ。とはいえ、ようやく、サイバースパイ行為とサイバー戦争を阻止することが議題として挙げられるようにはなった。

写真提供：マイケル・レイノルズ（Michael Reynolds）氏、EPA 出典

たとえば、9月末にオバマ大統領と習近平国家主席が、世界最大級の経済大国である米国と中国が今後、互いに相手国に対する商業的なサイバースパイ行為に関与しないという合意を交わした。さらに、両首脳の共同記者会見では、（気候変動を遅らせるための数々の施策とともに）サイバーセキュリティについての発言が特に多く聞かれた。興味深いことに、政治的および軍事的なサイバースパイ活動という厄介な論点はまったく取り上げられなかった！

というわけで、この合意が一大変革をもたらすかというと、もちろんそうはならない。

それでもやはり、少なくともこの小さな一歩は正しい方向に向かっている。さらに、中国と米国がサイバー空間での攻撃を禁止する協定に関して交渉を始めているという噂もある。9月の首脳会談でその話題は取り上げられなかったが、近いうちにそうなることを期待したい。そうなれば、たとえ象徴的な意味合いに過ぎないとしても、重要な一歩になるはずだ。

もちろん、将来はそのような協定に世界のすべての国が調印するのが理想だ。そうすれば、その分だけ少し、インターネットとサイバー空間の非武装化の実現に近づくだろう。それが最善のシナリオであることは確かだ。だが当面は、あまり現実的な展望とはいえない。とにかく、しつこく提唱し続けるとしよう。