全3728文字

 国が重点的にサイバー防衛を強化する重要インフラ。その枠外のダムでは、サイバー攻撃への対策の遅れが目立つ。

 ダムでサイバー対策が求められているのは、大規模水害などを招く恐れがあるからだ。大雨時、ダム放流ゲートの遠隔装置がハッカーに乗っ取られて急にゲートが全開になれば、突然の放流となるため下流側は危機的状況に陥る。

西日本豪雨時の愛媛県大洲市内の様子。上流のダムの防災操作後、大規模浸水被害が発生した(写真:大洲市)
西日本豪雨時の愛媛県大洲市内の様子。上流のダムの防災操作後、大規模浸水被害が発生した(写真:大洲市)
[画像のクリックで拡大表示]

 その際、下流エリアの住民に及ぼす影響はどの程度になるだろうか。サイバー攻撃とは関係ないが、上流のダムで異常洪水時防災操作を実施した2018年西日本豪雨での愛媛県の水害事例を参考に考えてみよう。

 事前の周知が不十分だったといわれており、下流域の西予市と大洲市では約3500棟が浸水し、9人が亡くなった。ダムが予兆なくサイバー攻撃を受けると、同様の被害またはそれ以上になることは容易に想像がつく。

 それだけ影響度は大きいにもかかわらず、政府がサイバー対策を重点的に進める分野を示した「重要インフラ」に、ダムは直接該当しない。重要インフラとは国民生活や経済活動の基盤となるインフラのうち、機能の低下などで特に大きな混乱を招くと見込まれるものを指す。

14分野の重要インフラと、国などの情報共有体制の図。ダムは直接的には重要インフラに該当せず。内閣サイバーセキュリティセンターの資料を基に日経コンストラクションが作成
14分野の重要インフラと、国などの情報共有体制の図。ダムは直接的には重要インフラに該当せず。内閣サイバーセキュリティセンターの資料を基に日経コンストラクションが作成
[画像のクリックで拡大表示]

 重要インフラに該当するのは、航空や鉄道、水道、電力、政府・行政サービスなどの14分野。ダムは、政府・行政サービスなどで間接的に関わってくるのみだ。

 重要インフラの事業者は、内閣官房内閣サイバーセキュリティセンター(NISC)との連携を強化することになる。例えば、NISCの用意したシナリオを基にサイバー対策訓練を実施したり、サイバー攻撃を想定したBCP(事業継続計画)の作成でNISCの支援を受けたりする。他にも、事業者と所管省庁、NISCとの情報共有体制を構築できる。

 政府は近年、インフラ分野のサイバー防衛を強化する姿勢を見せる。22年6月、重要インフラ事業者のサイバー対策の方向性を示す「行動計画」を、5年ぶりに改定。対策の不備で情報漏洩した場合は経営陣が「賠償責任に問われ得る」と明記した。同年5月には、経済安全保障推進法を成立。サイバー攻撃などから、基幹インフラの安全を確保することを柱の1つに掲げた。ただここでも、ダムは基幹インフラの対象外だ。

水資源機構では三重県警とのサイバー合同訓練を実施した実績がある。サイバー攻撃があるとの想定で、各種訓練に励んだりするダム管理者はまれだ(写真:水資源機構)
水資源機構では三重県警とのサイバー合同訓練を実施した実績がある。サイバー攻撃があるとの想定で、各種訓練に励んだりするダム管理者はまれだ(写真:水資源機構)
[画像のクリックで拡大表示]

 「ダムこそ重要インフラだ。なぜ重点分野の枠組みに入っていないのか疑問だ」。ダムの運用に詳しい、京都大学防災研究所水資源環境研究センターの角哲也教授は、こう話す。

 国土交通省では近年、ゲート操作の遠隔化をはじめとした、ダム管理の高度化が進む。それでも、サイバー攻撃に対するダム管理者の危機意識は重要インフラの事業者と比べて全体的に低い。サイバー攻撃があるとの想定でBCPを作成したり、各種訓練に励んだりしている例はほとんどないという現状だ。

 こうした事態は、ダムが重要インフラの対象外であることと無関係でないだろう。ダムのサイバー対策では、情報共有やアドバイスなどでNISCの関与がほぼ見られない。「ハッカーは、大きな被害を与えられる施設を、積極的に狙う傾向がある。ダムも標的の1つだ」。インフラのサイバー対策に詳しい新誠一・電気通信大学名誉教授は、こう指摘する。