ESG（環境・社会・企業統治）は、業種や時間軸の広がりだけでなく、多様な業務分野にかかわり非常に多元である。しかも、それが日々拡大し、深くなっている。膨張するESGから生じるリスクに対応できる体制と戦略はあるのか、と問うてみる必要がある。リスク管理の手法といえば「デリバティブ」がある。ESGに適用する「ESGデリバティブ」を原因別対応策別などの視点から考察してみよう。今回は【第4回】グリーン・セキュリティ入門である。

最近のサイバー攻撃

潜伏期間が長く、複数の攻撃手段が採られることが知られるようになったサイバー攻撃では、事前の探索行動が時間をかけて行われる。しかも、攻撃者は本当の標的の周辺から攻めてくることが多い。

警察庁が集計している日本のサイバー犯罪検挙数の推移を添付の図表でみると、日本でもサイバー攻撃が増加している事実を確認できる。このようにサイバー攻撃が傾向的に増えているなかで、最近ESG事業へのサイバー攻撃が起きるようになっており、その業績への影響が心配される。

サイバー攻撃対策はESGのS（社会）

サイバー攻撃対策のための出費は、サイバーセキュリティ投資と総称され、現在広く関心が持たれているESGのS（社会）に相当する投資である。海外では、Sのリストに挙げられることが多い。サイバーセキュリティ投資は、環境ではなく、社会（特に企業間ネットワーク）や企業の持続可能性そのものを課題にしているからである。

先進国特に欧州のESG対応と比較して日本の動きは遅い。2015年に導入され、本邦上場企業が最も配慮してきたコーポレートガバナンス・コードのガイドラインでは、サイバーセキュリティの重要性を明記できていなかった。しかし、経産省からはサイバーセキュリティ経営ガイドラインが2015年12月に策定され、その後数回改訂され2017年11月にVer2.0が公表された。

必要になるグリーン・セキュリティ

詳細は公表されないため全貌は不明であるが、グローバルにはESG事業へのサイバー攻撃は既に始まっており、複数の事例がある。

まず2019年に再エネ事業者がサイバー攻撃を受け、発電設備が送電網から離脱した事例が起こる。さらに2021年には2件あげられる。まず、ランサムウェア攻撃によって風力発電会社で情報漏洩が起こり、業務停止した事例がある。

2件目は、サイバーとフィジカルが融合し、社会的インパクトの大きい攻撃として注目された。米国において、攻撃者が不正に入手した認証番号を悪用して、リモートデスクトップ・アプリケーションで水道局に不正アクセスし、水処理施設を遠隔操作し薬液投入量を変更させ水酸化ナトリウムの濃度を上昇させる事例が2021年3月発生した。

この飲料水の汚染未遂事件は、IPA（情報処理推進機構）の制御システムのセキュリティリスク分析ガイド補足資料：「制御システム関連のサイバーインシデント事例」シリーズにも掲載されている。

ESGにリンクされた転換社債を発行した世界で最初の企業は、本連載の最終回で説明するように、シュナイダーエレクトリック社である。2017年に中東の石油化学プラントで使用されていた同社製の安全計装システム（SIS: Safety Instrumented System）コントローラーを標的としたマルウェア攻撃が起こる。攻撃者はワークステーションへのリモートアクセス権を取得し、ゼロデイ脆弱性を利用して改ざんして、プラントを緊急停止させた。

問題点の本質

忘れてはいけない重要な点に経済の相互依存性がある。例えば、電力はインフラの中心であるが、他のインフラや業種と強く依存している。監視制御では通信インフラ、冷却水では水道・ガス、燃料入出荷では輸送の各業種という風である。電力業自身ではなく、これらのどれか１つでも攻撃されれば、電力は止まってしまう。

対策の概略

事前防御・事後対応（早期発見、迅速な対応）の観点から、オンライン化の進展を見据え、必要な措置が必要になる。経済への影響を小さくするためにはレジリアンス、つまり敏速で完全な復旧が重要になる。