名古屋の中小企業向け経営コンサルタント猪子 剛

送配電分離に伴うサイバーセキュリティ部門の分社化対応は、  ITとOTの両輪でのセキュリティ体制再構築とガイドライン準拠のための内規の再点検が中心テーマでした。

送配電会社は「中立性確保」が電気事業法的に求められるため、セキュリティ組織も親会社と切り離し、独立したCSIRT体制を構築する必要がありました。

【ITとOTの両輪でのセキュリティ体制再構築】

分社化後に「IT資産の可視化」、「OTとITの統合監視体制の強化」「CSIRTの独立運営」の導入など、独立会社としてのセキュリティ基盤を再構築しています。

 【ガイドライン準拠のための内規の再点検】

送配電会社は各ガイドラインへの準拠が必須で、分社化後に内規の再点検を実施しました。

• 電力制御システムセキュリティガイドライン

• スマートメーターセキュリティガイドライン

• ERABガイドライン  

各ガイドラインは電力システム全体のセキュリティを底上げするための基準であり、分社化後は送配電会社が主体的に遵守する必要があります。

【まとめ：送配電分離におけるセキュリティ部署の役割】

送配電分離の本質は、「中立性を担保した送配電会社が、独立したセキュリティ体制で電力インフラを守る」  ことにあります。

そのため、セキュリティ部署は「システムの独立運用」「IT/OTを統合したセキュリティ体制強化」「ガイドライン準拠の再構築」を中心に大規模な対応を行いました。

社会インフラを支える電力会社のCSIRT（Computer Security Incident Response Team）メンバーとして、会員３百万人規模のWebサービスおよびモバイルアプリを標的とした大規模なサイバー攻撃に対し、初動対応から事案の鎮圧まで対応しました。

【背景】

 他社サービスから流出した認証情報を悪用した「パスワードリスト型攻撃」が発生。本事案の特徴は、単一の認証画面を狙うのではなく、Webブラウザ、iOSアプリ、Androidアプリという複数の認証エンドポイントに対し、検知を回避しながら波状攻撃を仕掛けてくる極めて執拗な攻撃でした。

CSIRTとしての初動対応と原因究明

異常なログイン試行を検知した直後、CSIRTとして以下の対応を実施しました。

ログ解析と攻撃パターンの特定： 24時間体制でアクセスログを精査。攻撃者が正規ユーザーのふるまいを模倣し、IPアドレスを分散させながらログインを試行するパターンを特定しました。

脆弱な認証箇所の特定： Web側での防御を強化すると、即座にAPIやアプリ側の認証ロジックへ攻撃対象を切り替える「攻撃者の執拗さ」を分析。システム全体の攻撃面（アタックサーフェス）を網羅的に把握し、封じ込め策を講じました。

現場での苦労と「防御の攻防戦」

最も困難を極めたのは、「正規ユーザーの利便性」と「攻撃の遮断」のトレードオフでした。

波状攻撃への対処： Webサイト側でボット検知やレートリミットを強化すると、攻撃者はモバイルアプリのAPIへと標的をシフト。これに対し、CSIRTは各デバイス特性に合わせたWAFルールの最適化や、リスクベース認証の動的適用をリアルタイムで実施しました。

情報の保護を最優先： 不審なログインを検知したアカウントに対し、パスワードリセットよびかけ、最終的には強制変更を実施。攻撃者が情報に到達する前にアクセス権を無効化することで、金銭的被害やポイントの不正交換を最小限に防ぎました。

【CSIRTとして】

攻撃者は常に弱点を探し、波状攻撃を仕掛けてきます。インフラ企業のCSIRTとして、技術的な防御力だけでなく、攻撃者の意図を先読みし、迅速かつ冷静に判断を下す「現場の対応力」が、顧客の信頼を守る最後の砦であることを証明した事例です。