東京ガス株式会社 日立LNG基地様

CSMS(サイバーセキュリティマネジメントシステム)認証取得事例 東京ガス株式会社 日立LNG基地 CSMSの活用で、都市ガス供給の制御システムセキュリティを高度に保ち続ける

東京ガス株式会社は、2016年3月、同社4番目の都市ガス供給拠点となる日立LNG基地において、制御システムに関するサイバーセキュリティマネジメントシステム(CSMS)※1の認証を取得した。日立LNG基地 操業部 計装システムグループマネージャー 鈴木 哲氏、同グループ 伊藤 拓氏に、CSMS導入の目的や工夫した点、成果、今後の展開についてうかがった。

日立LNG基地 操業部 計装システムグループ マネージャー 鈴木 哲氏日立LNG基地 操業部 計装システムグループ
マネージャー 鈴木 哲氏

日立LNG基地 操業部 計装システムグループ 伊藤 拓氏日立LNG基地 操業部 計装システムグループ
伊藤 拓氏

※1 CSMS:
Cyber Security Management System for IACS (Industrial Automation and Control System) 、制御システムに関するサイバーセキュリティマネジメントシステム

(取材日:2016年4月18日)

最新鋭のLNG基地に、最新鋭のCSMSを

東京ガス日立LNG基地は、同社が初めて東京湾外に建設したLNG基地である。湾内にある既存の3つのLNG基地※2と連携することで、都市ガスの供給安定性が向上するとともに、北関東地域への普及拡大による産業活性化も期待されている。

都市ガスという社会的に重要なインフラを担う同社にとって、プラントの制御システムのセキュリティを確保することは極めて重要な課題である。万が一、制御システムの障害によってガスの供給が停止するようなことがあれば、その社会的影響は計り知れないものがあるからだ。同社では、昨今のサイバー攻撃も含めた脅威に対するセキュリティ体制をより強固にするため、同基地の建設を機にCSMS認証基準に則ったマネジメントシステムを構築し、認証取得の準備を進めてきた。

「当社は、かねてから制御システムの重要性を認識しており、既設の基地においても制御システムのベンダーや他のガス会社などと情報共有しながらセキュリティの確保に努めてきました。しかし、自分たちのシステムのセキュリティが実際にどのレベルにあるのか、課題はないのか、ということを客観的に確認することは難しい課題でした。そうしたなかで、新たにCSMSの認証制度ができたことを知り、情報収集を開始しました」(操業部 計装システムグループマネージャー 鈴木 哲氏)。

CSMSに関する情報収集は、技術研究組合 制御システムセキュリティセンター(CSSC)が主催するセミナーへの参加や、同センター東北多賀城本部に開設された制御システムセキュリティテストベッド施設の模擬プラントの見学などを通じて行った。この結果、新設する日立LNG基地でのセキュリティ対策として最新鋭のCSMSを導入することが有効と判断し、認証取得を目指すことを意思決定した。認証範囲は、制御システムの構築・維持を管轄する操業部 計装システムグループと、実際に制御システムのオペレーションを行う操業部 製造センターの2部署とした。

※2 東京湾内にある既存の3つのLNG基地:
根岸LNG基地(神奈川県横浜市)、袖ケ浦LNG基地(千葉県袖ケ浦市)、扇島LNG基地(神奈川県横浜市)。

東京ガスのLNG基地

これまでのセキュリティ対策をCSMSにひも付け

日立LNG基地の制御システム自体の構築は2014年度に行い、2015年4月から計装システムグループを事務局として、適用宣言書やマニュアル類の整備などCSMSの構築に取りかかった。

「文書の整備は、当社が既設基地で管理を行ってきたマニュアル類をCSMSの要求事項にひも付けるという形で行いました。実際に取り組んでみると、CSMSの要求事項を読み解くのはなかなか難しく、具体的にどんなことを指しているのかと迷うこともありました」(操業部 計装システムグループ 伊藤 拓氏)。

CSMSの構築・運用段階では、CSSCのセミナーや制御システムのベンダーである日立製作所を通じて情報を入手した。JQAの業務相談サービスも有効だったという。
一方で、既存基地で運用してきたセキュリティ対策とCSMSで要求されている手法との間には、いくつか異なる部分もあった。その一つがリスクアセスメントだった。

「当社でも過去のさまざまな経験を生かしてリスクに対応した管理体制を構築してきましたが、CSMSのリスクアセスメントはより網羅的でした。例えば、CSMSではセキュリティ面だけでなく、HSE(health:健康、safety:安全、environment:環境)に対する影響についてもリスクアセスメントに含めることが求められます。これまで制御システムセキュリティという切り口においては考え切れていなかった観点だったので、さまざまな発見がありました」(伊藤氏)。

「リスクアセスメントを通して、弊社および制御システムベンダーそれぞれのセキュリティ対策についても明確にすることができました。制御システムの構築・運用ではベンダーの存在が不可欠です。これまでもベンダーに対するチェックを行ってきましたが、CSMSを構築するなかでベンダーの重要性を再認識し、具体的なセキュリティチェック方法をCSMSマニュアルに落とし込むことで、弊社担当者間のチェック品質のばらつきも防げるようになりました」(鈴木氏)

また、マネジメントシステムの導入によって内部監査を行うことも、新たな取り組みとなった。同社では制御システムの運用担当者がチェックシートを使ってセルフチェックを行っているが、第三者的な視点で行う内部監査は行っていなかった。内部監査にはある程度情報システムについての専門知識が求められることから、内部監査員に誰を指名するかも苦労した。今回は、総務部門の情報システム担当者を内部監査員として内部監査を行ったが、今後もより効果的に内部監査を実施するには誰を指名すべきか、検討を続けているという。

制御システムのセキュリティを高度に保ち続けるために

2016年1月にJQAの登録ファーストステージ審査、2月に登録セカンドステージ審査を受けた。
「われわれ社内のスタッフはどうしても制御システムそのものに目が行きがちになります。JQAの審査では、“マネジメントシステムとしてどうしたらセキュリティを確保できるか”という観点で見てもらうことで、自分達だけでは気が付かなかった改善点を発見することができました」(伊藤氏)。

CSMSに取り組んだことによる成果として、鈴木氏は以下の3点をあげている。
1つ目の成果は、CSMSでPDCAを回す仕組みができ、セキュリティ対策の継続的改善が可能になったことだ。今後、制御システムに関する技術が高度化する一方で、サイバー攻撃などの脅威もさらに高まることが予想される。一方、LNG基地の操業の拡充により制御システムの増設やメンテナンスも継続的に行うことが必要だ。こうした外部環境の変化に対応し、運用状態を定期的にチェック、改善することで将来にわたって高いレベルのセキュリティを維持できる。

2つ目の成果は、システムベンダーも含めた関係者のセキュリティ意識の向上だ。CSMSの構築・運用を通じて、リスクマネジメントに対する理解が進むとともに、セキュリティに対する目的意識の高い取り組みが期待できる。

3つ目の成果は、CSMS認証取得により、当基地が制御システムのサイバーセキュリティを継続的に改善、向上していることを、第三者に宣言できることだ。

東京ガスでは、2020年度までに「日立LNG基地2号タンク」の建設を計画している。今後は、高圧ガスパイプラインの拡充をさらに図ることにより、関東圏全域のエネルギーセキュリティ向上に貢献していく考えだ。

<認証取得までのスケジュール>

2015年 4月~ マネジメントシステムの立ち上げおよび文書化の準備
11月 マネジメントシステム運用開始
2016年 1月 内部監査
1月 マネジメントレビュー
1月 登録ファーストステージ審査
2月 登録セカンドステージ審査
3月4日 認証取得

東京ガス 日立LNG基地の概要

船・基地空撮写真

所在地 茨城県日立市
敷地面積 約10.4万m2
着 工 2012年7月
営業運転開始 2016年3月24日

CSMS認証登録情報

登 録 2016年3月4日
登録活動範囲 都市ガスの製造・供給に関する制御用計算機及びネットワーク装置の運用

ISO認証事例一覧トップへ戻る

お客さまの活用事例

ページの先頭へ