※本ブログは3月10日発行の一般社団法人 エネルギー・資源学会の「エネルギー・資源」2017年(平成29年)3月号 Vol. 38 No. 2 (通巻222号) において、日本法人最高セキュリティ責任者松原 実穗子が執筆した部分を転載したものとなります。

1.重要インフラに対するサイバー脅威の増大

最近、ほぼ毎日のようにサイバー攻撃に関するニュースが新聞やテレビを賑わしている。実際、世界最大のコンサルティング会社の1つであるPricewaterhouseCoopers(PwC)の調査によれば、2014年に比べ、2015年のサイバーインシデント数は世界中で38パーセント増加している(参考文献1)。

電力などのエネルギーセクターを含む重要インフラへのサイバー攻撃も例外ではない。米国土安全保障省のIndustrial Control Systems Cyber Emergency Response Team(ICS-CERT)の調査レポートでは、2014年度よりも2015年度に重要インフラに対する攻撃への対応が20パーセント増加し,しかもその中でエネルギーセクターが製造業に続く第2のターゲットになっていたことが記されている(参考文献2)。

この傾向は安全保障上気がかりである。重要インフラ事業者(重要社会基盤事業者)は、日本のサイバーセキュリティ基本法第3条の中で「国民生活及び経済活動の基盤であって,その機能が停止し,又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者」と定義されている。つまり,重要インフラの安定的な運用は,国家安全保障及び国民の生命の保護や社会経済活動の確保にも直結しており,重要インフラのセキュリティは不可欠である。

 また,日本は2020年に東京五輪を控えており,五輪の成功のためには物理的・サイバー空間におけるセキュリティは必須だ。2012年のロンドン五輪の開会式の当日早朝,電力供給のための監視制御システムに対するサイバー攻撃の恐れがあるとの一報が英国政府から五輪のサイバーセキュリティ責任者にもたらされた。主催者側はこうしたサイバー攻撃の発生を見越し,30秒間停電した場合には別の発電システムへの切り替えができるようにしてあった。幸い,サイバー攻撃は成功せず,停電は発生しなかったが,万が一成功していた場合には,英国の威信は大きく傷つけられていたことであろう(参考文献3)。東京五輪の開催時にも同様のサイバーリスクを見越し,五輪や市民を支える電力,エネルギーのサイバーセキュリティを守らなければならない。

本論文では,重要インフラの中でも特に国民の生命・社会経済活動の保護上要となる電力・エネルギー分野におけるサイバーセキュリティを取り上げる。まず,本分野がサイバー攻撃にさらされる背景,攻撃の実例を考察した上で,次に,日本ではどのような政策上の動きがあるのか,情報共有及び人材育成が行われているのか分析する。

2.重要インフラがサイバー攻撃にさらされる背景

重要インフラで使われているシステムの場合,一般のシステムと異なり,外部ネットワークへの接続点が限定され,クローズドな作りになっているため,以前はそれほどサイバー攻撃が心配されていなかった。だが,近年のいくつかの変化に伴い,重要インフラもサイバーセキュリティの需要が高まっている。その変化とは,汎用技術の採用とモノのインターネット(Internet of Things, IoT)である。

第1に,重要インフラで使われているシステムは,大別して情報システムと制御システムに分けられる。そのうち制御システムは,他の機器・システムの管理・制御に使われるものである。制御システムは,従来独立した専用システムとして設計され,ベンダ個別仕様の製品・技術が使われていたため,制御システムのデータの連携にはデータ形式のカスタマイズなど手間とコストがかかっていた。しかし,WindowsやLinuxなど汎用システムの普及及びネットワーク技術の進化に伴い,汎用システム・OS・ネットワーク,標準プロトコルが採用されるようになった(参考文献4)。

長所としては,個別システムの独自開発の廃止及び製品化期間の短縮に伴い,コスト削減と相互接続性が可能となったことがあげられる。その一方で,短所は,従来隔離されていた制御システムが外部に接続されるようになったが故に,攻撃者側がITシステムに対して使っているものと同じ攻撃手法を重要インフラに対しても適用できるようになったことだ。しかも,重要インフラの場合,安定的な運用を続けることが安全保障上,社会経済活動上必須であるため,システムへの負荷や運用中断につながりかねないことは避ける傾向にある。そのため,汎用製品のパッチが公開されても,直ちに稼働中の制御システムにパッチを当てることは難しい。また,制御システムは情報システムよりもライフサイクルが圧倒的に長く,10~20年使用されるため,当然,そうしたシステムに使用されるセキュリティ技術も最新の脅威への対応が困難となる(参考文献5)。更には,上述の情報系(IT)と制御系(OT)の優先度・文化の違いから,両者にまたがったセキュリティガバナンスが難しくなってしまう。

第2に,IoT活用によるコスト削減と業務効率の向上の波は電力業界にも押し寄せている。実際,2016年9月,東京電力フュエル&パワー株式会社と米GEパワーは,火力発電分野におけるIoTソリューションの共同開発・導入について基本合意したと発表した(参考文献6)。ガスタービンや発電機にセンサーを取り付けることで,運転状況を常時監視し,ガス燃焼の最適化を図る他,大きな故障に発展する前にタービンなどの機器の異常を検知,必要に応じて修繕・交換し,発電設備の休止期間を最低限にとどめることを目指す。両社は1年間かけて効果を検証し,効果が得られれば,他の発電所にも導入を拡大する予定であるという(参考文献7)。

原発停止後の発電効率の向上及びコスト削減は日本にとって重要課題であるため(参考文献8)、今後もIoTの電力分野への導入は続くものと考えられる.拡大するIoT利用による利便性を享受しつつ,いかに効率的にサイバーセキュリティを確保するかが肝要となる。マニュアルでの対応では限界があるため,状況把握のための可視化及び自動化によるサイバー攻撃の成功の防止が必要となってくるであろう。

3.エネルギー分野におけるサイバーの実例

重要インフラがオープン化による利便性の向上と同時にサイバー脅威にさらされるようになるにつれ,サイバー攻撃による運用への障害や情報漏えいも実際に発生するようになっている。

例えば,2003年1月には米国内の原子力発電所でマイクロソフトのSQLサーバーを狙ったSlammerワーム(悪意のあるプログラムの一種)が侵入し,ネットワーク通信の障害が発生,4時間50分間にわたって原子力発電所の職員がメルトダウンの徴候を把握するのに必要な温度や放射線などのデータの安全表示システムにアクセスできなくなってしまった。原子力発電所のファイアウォールで,本来であればSlammerワームによる感染を防止できるはずであった。しかし,業者が自社のネットワークへ接続するために原子力発電所のファイアウォールを迂回した通信を作っていたこと,また6ヶ月前にリリースされていたマイクロソフトのSQLサーバーの修正プログラムのパッチを原子力発電所側で当てていなかったことが被害をもたらした(参考文献9)。このインシデントを受け,重要インフラのサイバーセキュリティ上の課題とサイバー攻撃に伴う物理的被害への広がりの可能性が改めて浮き彫りになった。

 その恐れが現実のものになったのが,2015年12月のウクライナ西部で発生したサイバー攻撃による停電である。225,000名が影響を受けた.米国国土安全保障省は,今回の事例がサイバー攻撃による初めての停電と見ている(参考文献10)。

 日本でも導入が進んでいるスマートメーターもサイバー攻撃と無縁ではない。2009年にプエルトリコのとある電力会社は,スマートメーターを悪用した電力盗難の可能性について米国連邦捜査局(FBI)に相談した。FBIが捜査したところ,犯人は,赤外線などによる光変換機を使ってスマートメーターをハッキングし,自身のラップトップに接続することで,電力使用量の記録の設定を変えたり,あるいは強力な磁石でスマートメーターを電力使用量計測不能にしたりしていたという。スマートメーターは電力会社が遠隔で読み取っており,しかも顧客への電力供給は続いていたため,電力盗難の発覚が遅れることとなった。結果,FBIの見積もりでは,同電力会社の年間あたりの損失額は4億ドルにものぼったという(参考文献11)。

また,2014年12月,アジアの原子力発電会社がサイバー攻撃を受け,原発2基の設計図や,電力系統図,地元住民への放射線量の見積もりに関するデータ,社員10,000名分の個人情報が流出し,原発反対を表明する何者かがその情報をソーシャルメディアに掲載するという事件があった。同発電は,情報流出による原発の安全性への影響はないとしており,また,報道によると,原発の制御システムがハッキングされた証拠はない(参考文献12)。しかし,この流出した情報を元に原発にテロが仕掛けられるのではないかという恐れも当該国内では出ており(参考文献13)、重要インフラの運用に関する機微な情報が窃取されれば,物理的攻撃を含め,他に悪用される可能性も否定できない。

4.日本での重要インフラ及び電力防御に向けた動き

日本では,政府が2005年9月に「重要インフラの情報セキュリティ対策に係る基本的考え方」を出し,IT障害に伴う国民生活への悪影響の防止について取り組まれてきたところである。同文書の中でも,地震や津波などの自然災害によって引き起こされる重要インフラへのリスクについて言及されていたが(参考文献14)、2011年3月の東日本大震災は日本に安定的な電力供給のためのセキュリティ対策の見直しを迫るものであった。

 そのため,重要インフラの制御システムのサイバーセキュリティ強化のための研究開発,人材育成,国際標準化活動等を目的に,2012年3月,火力発電所やガスなど7つの模擬プラントを備えた技術研究組合制御システムセキュリティセンター(CSSC)が宮城県多賀城市にて発足した(参考文献15)。2014年度,2015年度,2016年度には電力やガスなどの事業者を交え,CSSCにてサイバー攻撃への対応策に関する演習も行っている(参考文献16)。

 また,2000年3月から電力小売自由化が始まり,2016年4月から家庭や商店をも対象とした全面自由化を控えていた日本においては,コスト削減のための汎用技術の利用及び外部への接続を行う事業者の増大が見込まれ,東京電力など従来から存在する一般電気事業者10社に加えて,新規に電力の販売市場に参加してくる事業者(新電力)のサイバーセキュリティの確保が急務となった(参考文献17)。

更に,2014年4月にエネルギーの使用の合理化等に関する法律(省エネ法)の改正が施行され,検針の自動化や電気の使用状況の見える化を可能とするスマートメーターの導入が規定された。スマートメーターは電力制御系ネットワークから独立しているものの,電力供給の開始・停止を遠隔で行うための開閉機能が備わっていることが多く,サイバー攻撃によってこの機能が不正操作されることで,大規模停電の恐れがある(参考文献18)。

 経済産業省は2013年度に委託事業でアンケート調査及びヒアリングにより電力制御システムの耐性評価を行い,外部との接続点を限定したクローズドなネットワーク構成,外部との接続ネットワークへのファイアウォールなどのサイバーセキュリティ対策,下請けを含めた要員管理,CSSCなどの行う演習への参加やサイバーセキュリティの意識啓発の実施が行われていることを確認した。こうした確認を経て,2014年2月の「平成25年度次世代電力システムに関する電力保安調査報告書」には,幸い,「これらの取り組みにより,これまで運転制御に影響のあるセキュリティインシデントは発生しておらず,セキュリティ対策としては一定の評価ができる。」と記されている。一般電気事業者の取ってきたセキュリティ対策は,同事業者が加入している電気事業連合会の自主的なガイドラインに基づくものであったが,新電力の市場参入を控え,同報告書は,電力市場に参入する事業者へ対する統一的なガイドラインの策定・運用を欧米のように日本でも行うと共に,事業内容と規模を鑑みた現実的な対策を実施するよう提言している(参考文献19)。

経済産業省は更に2014年度と2015年度に米国及びヨーロッパ(英国,ドイツ)で政府関係機関及び電力会社に対し,サイバーセキュリティ対策及び規制に関するアプローチについて委託事業調査を行った。米国ではセキュリティガイドラインが必要とされる背景として,日本と同様,電力の安定供給及び電力の自由化があったことが判明した。また,ガイドラインに遵守義務があることで,電力会社側で体制作りを進めざるを得ず,ITとOTの連携が生まれたという。電力会社の規模にかかわらず,最高情報セキュリティ責任者(Chief Information Security Officer, CISO)が置かれ,最高経営責任者(Chief Executive Officer, CEO)と連携を取り,ITとOT双方のセキュリティ対策の方針決定及び管理を行っている(参考文献20)。

一方,英国とドイツで行った調査によると,ヨーロッパでは1990年代からプライバシー保護に対する意識が高く,スマートメーター導入における顧客のプライバシー保護に関する規制が先行している。それに対し,英国では電力の安定供給に関する規制やガイドラインは存在せず,ドイツでは2015年に整備されたばかりである(参考文献21)。

 経済産業省は,両調査を比較・検討した上で,日本が取るべきアプローチとして,「①アメリカのアプローチを参考にして,規制によりベースラインを確保しつつ,インセンティブ等により企業のセキュリティ文化を形成。②「自主保安」の思想の下,電力会社が,自ら第三者によるガイドライン適合に関する監査を定期的に実施。③官民が協力し,インシデント,ベストプラクティス等の情報共有や分析機能を強化。」(参考文献22)を勧めている。

 CEOやCISOなど経営層がリーダーシップをとって,サイバーセキュリティに投資し,対策を進めていくという米国のアプローチは,2015年12月に経済産業省と独立行政法人情報処理推進機構(IPA)が出した「サイバーセキュリティ経営ガイドラインVer 1.0」にも合致している。同ガイドラインに盛り込まれた,コストとしてではなく,経営課題としてのセキュリティ投資という考え方は,2015年9月の日本の「サイバーセキュリティ戦略」に基づいており,安全保障や経済活動を支える重要インフラの防御のためにも,経営層がリーダーシップを発揮し,サイバーセキュリティ対策を推進していくことが望まれる。

続いて,日本電気技術規格委員会(JESC)が2016年3月にスマートメーターシステムセキュリティガイドライン,2016年5月に電力制御システムセキュリティガイドラインを策定した。両ガイドラインの中では,経営層がセキュリティの確保に責任を負うことなど事業者が実施すべき勧告的事項と,その都度実施の要否を判断すべき「推奨的事項」に分類されている.電力制御システムセキュリティガイドラインの場合,電力の安定供給を確保するため,システムの重要度を4段階に分類し,ログの取得や入退管理へのセキュリティ要求を分けていることが特徴である(参考文献23)。

 経済産業省は,電気関係報告規則及び電気設備に関する技術基準を定める省令の一部改正を2016年9月に行い,電気事業法における保安規定にサイバーセキュリティに関する根拠規定を省令第15条の2に加え,同ガイドラインをエンドースした。

 日本は2016年5月にG7伊勢志摩サミットを主催し,「サイバーに関するG7の原則と行動」を成果文書として出すなど,G7として初めてサイバーセキュリティについて本格的に議論を主導した。伊勢志摩サミット前後の大臣会合でもサイバーセキュリティは議論されており,同年5月のG7北九州エネルギー大臣会合共同声明では,電力,ガス,石油のサイバーセキュリティ強化について記されている(参考文献24)ことから,2017年以降,経済産業省は所管分野であるガスや石油についてもサイバー攻撃対策を進めていくものと考えられる。

5.情報共有と人材育成

各重要インフラ事業者がサイバー攻撃の成功を防止し,万が一障害が発生した場合には被害の拡大を防止し,迅速な復旧を確保するためには,脅威情報・ベストプラクティスの共有が不可欠である。だが,情報共有を他組織と行うに当たっては,自社へのサイバー攻撃に関する情報を外部に出すことに伴う会社のブランド,評判,株価等への悪影響や法的責任(ライアビリティ)に関する懸念,他組織との信頼関係がネックとなる。

日本の場合,海外よりも情報共有が進んでいないというPwCの調査結果もある。グローバル企業の64.7%が他組織とサイバーリスクに関する情報共有をしているのに対し,日本企業の場合その半分以下の30.4%にとどまっている。その最大の理由としてあげられているのが情報共有の枠組みの整備・標準化の欠如(39%)であり,その他にも競合他社への信頼の欠如(11%)もあがっている(参考文献25)。

 幸い,最大の理由としてあげられている情報共有の枠組みについては,2016年12月現在,エネルギー分野で2つある。第1に,2005年12月の「重要インフラの情報セキュリティ対策に係る行動計画」に基づき,そうした重要インフラ事業者の情報共有・分析機能を支えるために作られることになったのが,Capability for Engineering of Protection, Technical Operation, Analysis and Response(CEPTOAR,セプター)である。2016年4月現在,電力・ガス・石油を含む13分野,計18のセプターが存在している(参考文献26)。

第2に,2011年10月,IPAは経済産業省と協力し,重要インフラで利用される機器の製造業者を中心に,サイバー攻撃などに関する情報共有と早期対応を目的としたサイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)を作った。現在,電力・ガス・石油を含む7つのグループがある(参考文献27)。

 しかし,上述のセプター及びJ-CSIPには一般電力事業者しか含まれておらず,電力市場に新規参入してくる新電力は入っていない。そこで,経済産業大臣の諮問機関である総合資源エネルギー調査会下の電力基本政策小委員会は,2016年7月の会合にて,電力Information Sharing and Analysis Center(ISAC)という情報と分析結果を共有する枠組みを新たに整備し,サイバー攻撃やシステムの脆弱性に関する情報及びベストプラクティスを共有するよう提言した。電力ISACは,会員数1,900社以上を有する米国電力ISAC及び会員数約20社の欧州電力ISACとの海外連携を行うほか,IPAやJPCERT/CCとも国内連携する予定である(参考文献28)。

IoTの進展や汎用技術の導入によって,グローバル連携がますます重要になる中,この電力ISACは海外で起きているサイバー攻撃についての情報をグローバルに共有していく上で有益である。但し,新電力の参入により,今まで以上に他社間との信頼関係の構築が情報共有の上で重要になる。また,共助のためには,情報を受け取るだけでなく,枠組みに対して貢献し,情報を相互に提供しあうボランティア精神,そして自社の経営層からの理解と後押しが不可欠である。情報共有を行うには,そのプロセスが自動化されるまでの間は,いつ誰に対してどのような情報をいかにして渡すかを判断し,作業する人材が必要となる(参考文献29)。

 しかし,日本の場合,重要インフラ事業者をはじめとするエンドユーザー企業側のサイバーセキュリティ人材不足が深刻である。エンドユーザー企業の部署内の情報セキュリティ管理者について「必要なスキルを有する人材は確保できている」と回答したのは,21.9%にすぎない(参考文献30)。IT人材がエンドユーザー企業(24.8%)よりもシステムインテグレーターなどのITサービス企業(75.2%)に集中しており,情報共有を国内外で進め,活用するには,重要インフラ事業者もサイバーセキュリティ人材を獲得する必要があるだろう。なみに,米国は日本とは逆にIT人材がITサービス企業(28.5%)よりもエンドユーザー企業側(71.5%)に多く(参考文献31),エンドユーザー企業社内でサイバーセキュリティ対応しやすい人材配置となっている。

 エンドユーザー企業側の人材育成に向けて,官民それぞれで動きが始まっている。経済産業省は2017年度からIPAに産業系サイバーセキュリティ推進センター(仮称)を設置し,重要インフラ事業者の総合的なサイバーセキュリティ戦略立案人材を毎年100人程度育成する予定である(参考文献32)。

 また,2015年6月にNTT,NEC,日立製作所が中心となって作った産業横断サイバーセキュリティ人材育成検討会には,2016年8月現在,エネルギー関連企業を含む48社(参考文献33)が加わり,日本の産業界における人材の定義と現状把握,官民学間の人材育成のエコシステム作りを進めているところである(参考文献34)。人材育成は一朝一夕にはいかないが,こうしたイニシアティブが官民双方からそれぞれ推進されることで,重要インフラ事業者を含むエンドユーザー企業側の経営層のサイバーセキュリティに対する知見・理解の深化,現場を担う人材の登用・処遇の向上が徐々に進んでいくことが期待される。また,産業系サイバーセキュリティ推進センター(仮称)での育成事業は,経済産業省,IPA,重要インフラ事業者間の関係強化にも役立つものと考えられる。

6.今後の電力・エネルギー分野のサイバーセキュリティ

 2020年の東京五輪開催まで3年半あまりとなった今,五輪の成功に向けたサイバーセキュリティの強化,特に重要インフラの防御が喫緊の課題となり,2015年以降,戦略,政策,ガイドライン作りが日本において急ピッチで進められてきた。2016年は電力分野のサイバーセキュリティ強化に焦点が当てられてきたが,G7北九州エネルギー大臣会合共同声明に見られるように,2017年にはガスや石油などの他のエネルギー分野においてもガイドライン作り,情報共有,サイバーセキュリティの強化に着手されていくものと思われる。

 コスト削減,効率向上を目指す中,究極的にはマニュアルの作業をなるべく排し,自動化を進めていかなければならない。但し,5章で指摘したように,情報共有にあたっては信頼醸成とその作業を支える人材が不可欠である。枠組み作りにも,その枠組み内での共助となる双方向の情報のやり取りにも時間がかかることが予想される。そのプロセスをいかに迅速かつスムーズに進めていけるかについては,2015年のサイバーセキュリティ戦略やサイバーセキュリティ経営ガイドラインにも記された経営層のリーダーシップがカギを握るであろう。

参考文献

  1. PwC; Turnaround and transformation in cybersecurity─ Key findings from The Global State of Information Security® Survey 2016s,
    http://www.pwc.com/sg/en/publications/assets/pwc-global-state-of-information-security-survey-2016.pdf, 24(アクセス日2016.12.16)
  2. ICS-CERT; NCCIC/ICS-CERT Year in Review FY2015,
    https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf, 3(アクセス日2016.12.16)
  3. Gordon Corera; The 'cyber-attack' threat to London's Olympic ceremony(2013.7.8,
    BBC News, http://www.bbc.com/news/uk-23195283(アクセス日2016.12.16)
  4. 独立行政法人 情報処理推進機構セキュリティセンター;重要インフラの制御システムセキュリティとITサービス継続に関する調査(2009.3)https://www.ipa.go.jp/files/000013981.pdf,18,独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー長小林偉昭;制御システムの今あるセキュリティ脅威と対策について ~制御システムは,セキュリティ脅威とは関係ないと思っていませんか~(2012.5)http://www.ipa.go.jp/files/000025092.pdf,26-27(アクセス日2016.12.16)
  5. 独立行政法人 情報処理推進機構セキュリティセンター;重要インフラの制御システムセキュリティとITサービス継続に関する調査(2009.3)https://www.ipa.go.jp/files/000013981.pdf,21-22,DHS ICS-CERT; Recommended Practice:
    Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies(2016.9,
    https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf,1(アクセス日2016.12.16)
  6. GEパワー,東京電力フュエル&パワー株式会社;火力発電分野におけるIoTの共同での開発・導入について基本合意(2016.9.26)http://www.tepco.co.jp/fp/companies-ir/press-information/press/2016/1326051_8623.html(アクセス日2016.12.16
  7. 産経ニュース;東電と米GEが火力発電の効率化で合意「IoT」で監視,システム共同開発へ(2016.9.26)
    http://www.sankei.com/economy/news/160926/ecn1609260029-n1.html(アクセス日2016.12.16)
  8. 経済産業省;日本のエネルギーのいま よくある質問と回答
    http://www.meti.go.jp/policy/energy_environment/energy_policy/energy2014/qa.html(アクセス日2016.12.16)
  9. Brent Kesler; The Vulnerability of Nuclear Facilities to Cyber Attack, Strategic Insights, Volume 10, Issue 1(Spring2011),
    http://large.stanford.edu/courses/2015/ph241/holloway1/docs/SI-v10-I1_Kesler.pdf, 19-20(アクセス日2016.12.16)
  10. Dustin Volz; U.S. government concludes cyber attack caused Ukraine power outage(2016.2.25),
    Reuters, http://www.reuters.com/article/us-ukraine-cybersecurity-idUSKCN0VY30K(アクセス日2016.12.16)
  11. Brian Krebs; 09 FBI: Smart Meter Hacks Likely to Spread(2012.4.12)Krebs on Security,
    https://krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/(アクセス日2016.12.16)
  12. BBC News; S Korea nuclear firm to hold cyber-attack drills after hack(2014.12.22),http://www.bbc.com/news/worldasia-30572575,Justin McCurry; South Korean nuclear operator hacked amid cyber-attack fears - Operator begins two-day exercise after suspected hacker tweets information on KHNP plants and its staff(2014.12.23),Guardian, https://www.theguardian.com/world/2014/dec/22/south-korea-nuclear-power-cyber-attack-hack(アクセス日2016.12.16)
  13. Daniel Miller; Kim Jong-un feared to be planning attack on South Korean nuclear power stations after hackers access energy plant computers(2014.12.22), Mail Online, http://www.dailymail.co.uk/news/article-2883379/Kim-Jong-feared-planning-attack-South-Korean-nuclear-power-stations-Seoulorders-two-day-terror-drills-revealing-hackers-accessed-energy-plant-computers.html(アクセス日2016.12.16)
  14. 情報セキュリティ政策会議;重要インフラの情報セキュリティ対策に係る基本的考え方(2005.9.15)http://www.nisc.go.jp/active/infra/pdf/2siryou06-1d.pdf,1-3(アクセス日2016.12.16)
  15. 技術研究組合制御システムセキュリティセンター;制御システムセキュリティセンター東北多賀城(CSS-Base6)開所式開所記念シンポジウム(2013.5.28)
    http://www.css-center.or.jp/sympo/2013/documents/opening-report20130528.pdf,1,7-8(アクセス日2016.12.16)
  16. 技術研究組合制御システムセキュリティセンター;Press release制御システムセキュリティセンター,化学,電力,ガス,ビル分野におけるサイバーセキュリティ演習を実施(2016.10.26)
    http://www.css-center.or.jp/ja/info/documents/press/press_20161026.pdf(アクセス日2016.12.16)
  17. 資源エネルギー庁;電力分野におけるサイバーセキュリティ対策について(2016.7.1)http://www.meti.go.jp/committee/sougouenergy/denryoku_gas/kihonseisaku/pdf/007_06_00.pdf,1(アクセス日2016.12.16)
  18. 経済産業省商務流通保安グループ電力安全課;電力分野におけるサイバーセキュリティ対策について(2016.6.15)
    http://www.nisc.go.jp/conference/cs/ciip/dai07/pdf/07shiryou0601.pdf,3(アクセス日2016.12.16)
  19. 株式会社日本総合研究所;平成25年度次世代電力システムに関する電力保安調査報告書(2014.2
    http://www.meti.go.jp/meti_lib/report/2014fy/E003791.pdf,56,62(アクセス日2016.12.16)
  20. マカフィー株式会社;平成26年度電気施設技術基準国際化調査(電気設備)報告書(2015.3)
    http://www.meti.go.jp/meti_lib/report/2015fy/000094.pdf,189/217,196/2017-197/2017,201/2017(アクセス日2016.12.16)
  21. マカフィー株式会社;平成27年度電気施設保安制度等検討調査(電気設備技術基準国際化調査)報告書(2016.3)http://www.meti.go.jp/meti_lib/report/2016fy/000027.pdf,8-9,18-34(アクセス日2016.12.16)
  22. 経済産業省商務流通保安グループ電力安全課;電力分野におけるサイバーセキュリティ対策について(2016.6.15)
    http://www.nisc.go.jp/conference/cs/ciip/dai07/pdf/07shiryou0601.pdf,6
    (アクセス日2016.12.16),電力制御システムセキュリティガイドライン」(2016.7.7)
    https://www.denki.or.jp/wp-content/uploads/2016/07/d20160707.pdf, 9-11
    (アクセス日2016.12.16)
  23. 経済産業省商務流通保安グループ電力安全課;電力分野におけるサイバーセキュリティ対策について(2016.6.15)
    http://www.nisc.go.jp/conference/cs/ciip/dai07/pdf/07shiryou0601.pdf,9(アクセス日2016.12.16)
  24. G 7エネルギー大臣会合共同声明(仮訳)グローバル成長を支えるエネルギー安全保障のための北九州イニシアティブ(2016.5.2),http://www.mofa.go.jp/mofaj/files/000153466.pdf,3(アクセス日2016.12.16)
  25. PwC;サイバーセキュリティの転換と変革 グローバル情報セキュリティ調査2016 The Global State of Information Security® Survey 2016(2016.2)
    http://www.pwc.com/jp/ja/japan-knowledge/archive/assets/pdf/informationsecurity-survey2016.pdf,28(アクセス日2016.12.16)
  26. 内閣サイバーセキュリティセンター;「セプターカウンシル」の活動,http://www.nisc.go.jp/active/infra/ceptoar.html(アクセス日2016.12.16)
  27. 独立行政法人情報処理推進機構;サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))(2016.10.28),https://www.ipa.go.jp/security/J-CSIP/(アクセス日2016.12.16)
  28. 資源エネルギー庁;電力分野におけるサイバーセキュリティ対策について(2016.7.1),http://www.meti.go.jp/committee/sougouenergy/denryoku_gas/kihonseisaku/pdf/007_06_00.pdf,9-10(アクセス日2016.12.16)
  29. 松原実穗子,ダニエル・クリズ;経済産業省が勧告するサイバー攻撃の脅威情報共有とその日本での実施につい て(2016.7.29),パロアルトネットワークス,
    https://www.paloaltonetworks.jp/company/in-the-news/2016/160729_Threat_information_sharing_of_cyber_attacks_carried_out_in_Japan.html(アクセス日2016.12.16)
  30. みずほ情報総研株式会社;ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業事業報告書 第2部今後のIT人材需給推計モデル構築等 編(2016.3)http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_fullreport.pdf,175(アクセス日2016.12.16)
  31. 経済産業省情報処理振興課;情報セキュリティ分野の人材ニーズについて(2015.3)http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf,10(アクセス日2016.12.16)
  32. 経済産業省;産業系サイバーセキュリティ推進事業http://www.meti.go.jp/main/yosangaisan/fy2017/pr/i/i_shojo_05.pdf(アクセス日2016.12.16)
  33. 産業横断サイバーセキュリティ人材育成検討会 事務局;「産業横断サイバーセキュリティ人材育成検討会」の取り組み状況(2016.8.2)http://www.nisc.go.jp/conference/cs/jinzai/dai03/pdf/03shiryou06.pdf,2(アクセス日2016.12.16)
  34. 産業横断サイバーセキュリティ人材育成検討会 事務局;「産業横断サイバーセキュリティ人材育成検討会」第一期最終報告書第1.0版(2016.9.14)
    http://cyber-risk.or.jp/sansanren/xs_20160914_01_Report_1.0.pdf,4-5(アクセス日2016.12.16)