玉井 広史

インターネットの普及とコンピュータ技術の進展に伴い、サイバー犯罪が増大している。攻撃対象のコンピュータに不正プログラムを仕込み、信用情報を詐取したり機器の不具合を発生させたりする犯罪行為はよく耳にするところである。原子力関連施設に対するサイバー攻撃としては、2010年にイランのウラン濃縮施設がコンピュータワームであるスタックスネットの攻撃を受け、幸い重篤な事故には至らなかったが、制御プログラムの不具合により遠心分離機が損傷した事例が知られている。仮に原子力関連施設が損傷を受け、核物質あるいは放射性物質が飛散すれば、公衆、環境、社会に対して甚大な影響を及ぼす恐れがある。近年、核物質等の使用・保管・輸送等における物理的防護、規制の管理を外れた物質の検出・対応措置において、コンピュータシステムは重要な役割を果たしており、サイバー攻撃への対策は急務となっている。
国際原子力機関（IAEA）は、核物質及び原子力施設の物理的防護に関する核セキュリティ勧告第5改訂（INFCIRC/225/Revision 5）において、「物理的防護、原子力安全、及び核物質の計量管理等に使用されるコンピュータシステムは、サイバー攻撃、改ざん等から防護する必要がある」と定め、各種の手引きを発行してサイバー攻撃への対策を提供している。手引きでは、防護すべき対象資産の特定、サイバー攻撃の可能性についてその動機、意図、能力、戦術の理解とその脅威・リスク評価、攻撃を受けた場合のシステム／ネットワークの脆弱性とその影響の把握を行い、そのうえで、防護対象と脅威に見合った段階的な深層防護に基づくアプローチを選択することが、適切なコンピュータセキュリティの実現に有効であるとしている。さらにIAEAは、各国のサイバーセキュリティ能力向上の支援を行っている。たとえば、2020年に開催されたIAEA核セキュリティ国際会議の技術セッションでは、核セキュリティに関するデジタル資産の防護における各国の取組について良好事例の情報共有等が行われている。
日本においては、情報セキュリティに関わる問題への危機感の高まりを受け、2014年11月にサイバーセキュリティ基本法が成立し、官民における情報セキュリティ対策の推進にかかる企画・立案・総合調整に向けて、2015年1月に内閣サイバーセキュリティセンターが設置された。そのなかで、国民生活と社会経済活動に必須の重要インフラとして電力を含む14分野を指定し、「重要インフラの情報セキュリティ対策に係る行動計画」に基づき、安全基準等の整備・浸透、情報共有体制の強化、障害対応体制の強化、リスクマネジメント、防護基盤の強化に関する施策を進めている。
また、原子力規制委員会は、実用発電用原子炉の設置・運転等に関する規則において、原子炉施設・核燃料物質の防護に関する情報システムへの外部からの不正アクセス防止策を講じること、こうした攻撃を受けた場合に迅速かつ確実に対応する情報システムセキュリティ計画を作成することを、事業者に義務づけている。原子力業界は、こうした法令やIAEAの手引きに基づいてサイバー攻撃の脅威に対する防護強化を行うなかで、欧米原子力業界や国内産業界の最新知見を踏まえ、原子炉に関わるコンピュータ設備をサイバー攻撃から多層的に防護することを目的として、国内原子力産業界共通の基本方針や性能規定を具現化・明文化するべく自主ガイドを策定し、取組を進めている。
原子力に対する公衆の信頼及び受容を維持・向上するためにも、サイバーセキュリティを強化していくことは喫緊の課題といえよう。

たまい・ひろし：日本核物質管理学会会員