石油、ガス業界のプロセス監視におけるサイバーセキュリティ

Joe Morgan

私は、35年以上に渡り、石油、ガス業界に関わってきました。この長い在職期間中、市場と技術の両方で、信じられないような変化に直面しました。暴落と急騰、新しい油田やガス田の発見、油田やガス田の埋蔵量に到達する技術の実現などがありました。圧力や体積などの要素を示すダウンホール計器の出現や、最後まで採掘しつくすための新しい刺激技術も目にしました。

この経験から、石油、ガス業界が大きな技術変化の最中にあることを認識できたわけですが、これらの進歩に伴い、このセクターでは、サイバーセキュリティのリスクが確実に増加しています。このブログでは、今日の石油生産者が、新しいセンサー技術をどのように使用して効率を改善し、コストを削減しているのか、さらに、どのように関連セキュリティリスクを軽減しているのかについて説明します。

 

「鋭い聴覚」からセンサー技術へ

石油生産者の主な目的は油井の収益性を維持することであり、事業においては、技術が重要な役割を果たします。かつては、フィールドサービス担当者の鋭い聴覚で、故障したベアリングの音を検知することができましたが、この仕事は、現場の埋込みセンサーによって引き継がれています。スマートセンサーとSCADA (Supervisory Control And Data Acquisition) システムは、石油とガスの運用面の監視、報告に役立っています。これらのセンサーを使用して、初期変化を検出し、施設全体の重要なデータを工場責任者に中継したり、数千マイル離れた場所にある遠隔操作室に送信したりすることができます。最近まで、遠隔監視は高額でしたが、太陽光発電と蓄電池で駆動するLTEなどのセルラー技術の革新により、センサーを使用して入手した情報を長距離送信できるようになりました。スマートセンサーは、問題が発生したときにデータを送信するようプログラムすることもできるため、運用コストを大幅に削減することができます。

生産者は、これらの新しい複合技術を用いて、坑井現場のセキュリティ、プロセス、安全衛生を遠隔監視できるよう、システムを適応させています。その結果、生産者は受け身の姿勢から積極的な姿勢に移行し、現場の運用面が改善され、坑井サービスの一部が不要になりました。24時間稼働するセンサーは、異常なアクティビティを検出することができ、無作為の手作業チェックに取って代わるため、システムの導入により、最終的にはコストが削減され、坑井の収益が維持されることになります。多くの企業が、これらの機能を自社のネットワークに組み込んでいますが、潜在的なサイバー攻撃のリスクが伴うことにもなっています。

 

重要インフラに対するサイバー攻撃の脅威との戦い

石油、ガスセクターは国の重要インフラセクターの重要な一部であり、サイバーセキュリティは、ほとんどの業務において最大の関心事です。重要インフラ、多くのサブセクター、関係官庁に対する攻撃が成功すると、組織や市民に壊滅的な影響がおよぶおそれがあります。影響が連鎖的に伝わるカスケード効果や、一つの出来事が一連の出来事を引き起こす、累積的なドミノ効果が発生するおそれもあります。つまり、あるサブセクターが停止すると、他のサブセクターがそれに続くおそれがあります。

組織においては、変形と進化を続けるサイバー攻撃からの防御が重要です。この業界では、固有のセキュリティ脆弱性が原因で、IoTデバイスに対するランサムウェア攻撃が増加しており、新しいセンサーの安全を守る必要性はますます高まっています。金銭を要求する従来の攻撃に加えて、休眠期間によって検出を回避した後に情報収集活動を行う、トロイの木馬型のマルウェア攻撃が存在します。十分な情報を収集したハッカーは、運用制御機能を乗っ取ることができます。これが、石油、ガス工場で起こったと想像してみてください。悪意ある人物が、機械の一部が故障したという誤った警告を発するおそれがあります。この警告の真偽が検証されない場合、誤った反応を行うことによって、実際の事象よりも多くの被害を引き起こすおそれがあります。

 

追加的なセキュリティ層の導入

センサーアラート、アラームの検証は、センサーを追加することによって行えます。視覚カメラとサーマルカメラは、進化を続けるセンサーです。これらのカメラを配置して、センサーが問題を正しく示しているかを判断し、事象が発生したかを確認することができます。とくに、石油、ガス会社は、困難な状況に直面した場合、リアルタイムの遠隔監視を行うことで、セキュリティ層を追加することができます。原油価格の変動により、有人の現場が減少し、職員が現場を訪れる回数が少なくなっています。

ハッカーは、機を見るに敏であり、既存のプロセスの脆弱性を利用する機会を狙っています。先進的なセンサーメーカーは、検証を行うだけでなく、より多くの保護層を追加し、サードパーティのサイバーセキュリティパートナー企業による防御の強化に期待を寄せています。そのため、サイバー攻撃の関連リスクを考慮すると、サプライチェーンの適正な評価の重要性がこれまでになく高まっています。

 

サプライチェーンの評価

石油とガスの生産者が、潜在的な攻撃から投資を保護するには、新技術から得られる運営上の利点の先を見て、サプライチェーン内の企業のサイバーセキュリティの成熟度に注目する必要があります。重要なセクターで妥協的なソリューションを使用すると、事業だけでなく、社会にも悲惨な結果をもたらすおそれがあります。国は、石油やガスの供給サービスに依存しているため、その影響は広範囲に及ぶおそれがあります。事業の観点から見ると、サイバー攻撃が成功すると、ブランドの評判、株価、収益性にマイナスの影響が及ぶだけでなく、稼働停止や規制上の罰金が生じるおそれがあります。

サプライチェーン内のパートナー企業の評価を支援するには、技術の運用面を超えるアプローチが必要になります。評価全体を通して、パートナー企業が自社の成熟度を実証するために用意したISO27001などのプロセスとポリシーを考慮する必要があります。これらの組織が、サイバー攻撃から身を守るために何を行っているかを実証できなければ、顧客を保護することはできません。

技術に関しては、攻撃の根本原因となる製品のリスクを軽減するために、どのような機能とツールが用意されているでしょうか? たとえば、署名付きファームウェアやセキュアブートなどの機能を使用すれば、配備前にデバイスが危険にさらされていないことを保証することができます。その技術は、「セキュア・バイ・デザイン、セキュア・バイ・デフォルト」セットアップに準拠しており、すべてのセキュリティ対策がすぐに有効になっているでしょうか? ネットワークに接続するためにデバイスのセキュリティを強化する委託補助があるでしょうか? 技術のライフサイクル全体に渡る管理は、どのようにサポートされているでしょうか? 今日安全であるということは、明日も安全であるとは限りません。ファームウェアの更新を効率的な方法で事前対応的に管理できるよう、デバイスリストが提供されているでしょうか? とくに、予想される使用期間と古くなったファームウェアがもたらすリスクを考慮すると、ITポリシーにおいてはメーカーのハードウェア保証よりもファームウェアの更新の方が重要であることが確認されています。

新たな技術の時代に入った石油、ガスセクターが成功を収めるには、技術パートナー企業がきわめて重要な役割を果たします。技術パートナー企業が提供するソリューションは、とくに遠隔監視の観点から、石油、ガスセクターの効率を改善し、コストの削減に役立ちます。ただし、技術パートナーのサイバーセキュリティ評価を慎重に行うことが重要であり、調達プロセス中に優先順位を付ける必要があります。私の経験では、事業運営と収益性を改善する目的で技術を導入した結果、ユーザーのシステムが危険にさらされたら、惨事になるでしょう。すべてのビジネスが最も弱いリンクと同じ強さでしかないことを認識した場合、サイバーセキュリティは評価プロセスから開始する必要があり、後から思い付きで対処することはできません。石油、ガス企業は、これらを実行して初めて、新しい技術ソリューションを活用する強力な立場に立つことができます。

Axisが3つのレイヤーからなるサイバー防御を提供する方法の詳細については、ここをクリックしてください。

3つの防御レイヤー