オランダのディック・スホーフ首相が、欧州の主要産業イベントで複数の業界専門家とともに、重要インフラに対する攻撃が増加する中、世界のエネルギー・産業分野にサイバーセキュリティ対策の強化を呼びかけた。
サイバーセキュリティウィーク2025の一環として火曜日にオランダ・ハーグで開催されたONEカンファレンスで、スホーフ首相は次のように述べた。「セキュリティは終わりのない仕事だ。私たちは自己満足に陥ってはならない。将来の軍事紛争は戦場ではなく、ますますデジタル化が進む世界のサイバー空間で戦われることが急速に明らかになってきている。」
「例えば、ロシア・ウクライナ戦争を見てほしい。これは警鐘となった。私たちがキエフを明確に支持して以来、オランダだけでなく欧州全域でサイバー攻撃が増加している。これは偶然ではなく、6月に我々が主催したNATO首脳会議でも広く議論された。」
2024年7月に首相に就任する前は安全保障・司法大臣を務めていたオランダの政治家は、サイバーセキュリティの強化は困難な世界におけるエネルギー・産業分野のレジリエンス構築を証明するものだと述べた。
「デジタルプロセスは社会と産業の神経系となっている。したがって、両方をレジリエントにするためにはサイバーの専門家が必要だ。現代世界における戦略的自律性は、天然資源だけでなくデジタルセキュリティに基づいている。サイバーリスクを事後対応ではなく、積極的に管理するための行動を起こす時が来ている。」
首相の警告は、カンファレンスに参加した複数の業界専門家からも同様の指摘があった。特に懸念されているのは、欧州のエネルギー・公益事業インフラに対する一連の攻撃だ。
例えば、TrustWaveが今年初めに発表したレポートによると、エネルギー・公益事業分野を標的としたランサムウェア攻撃は2024年に前年比80%増加した。
このサイバーセキュリティ企業は、これらの侵害の大部分はデジタルプラント制御システムなどの極めて重要な運用技術(OT)インフラではなく、IT環境を侵害するにとどまったと指摘している。
しかし、オランダの情報機関は、OTに対する脅威がここ数年で急速に強まっていると考えている。これらの攻撃の多くは、ロシア・ウクライナ戦争、ガザ、米中対立によって引き起こされた国際的緊張がサイバー空間に投影されるという地政学的な争いによって引き起こされている。
敵対国家は、発電所からパイプラインまでの重要インフラネットワークに侵入することで、サイバー軍事能力を誇示しようとしている。
自己満足の余地なし
クラウドコンピューティングの採用、産業分野におけるITとOTネットワークの融合の進展、自動化、ビッグデータ、そしてAIの導入によって、さらに多くのセキュリティ課題が生じている。
産業IT環境のノードポイントが侵害され、その後ハッカーがOTネットワークに横方向に移動するための足がかりとして利用された場合、物理的環境と人命の両方に壊滅的な結果をもたらす可能性がある。
オランダ国家サイバーセキュリティセンターのマティス・ファン・アメルスフォート最高経営責任者(CEO)は次のように述べた。「私たちが目の当たりにしているのは、脅威が増大する中で、サイバーセキュリティ投資を『IT支出』とみなす古い考え方が過去のものになりつつあるということだ。」
「エネルギー分野はリスクベースの思考とデジタル世界の脅威を認識することにかなり長けるようになった。さらに、私が複数の関係者から見た多くの緊急時対応・サービス継続計画は精査に耐えうるものだ。しかし、さらなる対策が必要だ。」
高まる脅威に対応し、オランダの事業者に自己満足の余地がないことを確実にするため、ファン・アメルスフォート氏は政府がオランダのサイバーセキュリティ法(Cyberbeveiligingswet)を実施していると述べた。
デジタルレジリエンスを強化するための欧州連合(EU)のNIS2指令に沿ったこの国内法は、戦略的分野に対してネットワークと情報セキュリティを改善するための厳格な要件を課している。
この法律はまた、以前のイニシアチブよりも広範な事業体に対してセキュリティ義務とインシデント報告要件を導入している。2026年第2四半期に施行される見込みだ。
「まだやるべきことはたくさんあるが、元法執行官として安全に言えるのは、現在、様々な業界がサイバーセキュリティに関する様々な側面とプロトコルを定期的に再検討しているということだ。これは常に警戒と投資が必要なケースになると私たちは完全に予想している。」
後者の点について、産業サイバーセキュリティへの投資は着実なペースで成長している。いくつかの指標によれば、この分野は年間約10%の複合成長率を示しており、2030年までに数十億ドル規模の産業が形成されつつある。
また、スキルギャップへの対応にも徐々に焦点が当てられている。水曜日にONEカンファレンスでセキュリティ・デルタが発表した調査では、欧州におけるいくつかのサイバーセキュリティ能力のギャップが特定された。
既存のトレーニングと教育の提供を将来の労働市場ニーズと照らし合わせた10か国の欧州諸国の調査では、システム管理、テスト、品質管理とコンプライアンスが最も重要なギャップの中に含まれていることが指摘された。
セキュリティ・デルタのプログラムディレクター、マーク・ルイセンダール氏は、組織が新たに形成されたリスク管理とサイバーセキュリティ戦略の実施を開始すると、テスト、システム管理、品質管理のニーズが高まると指摘した。
「だからこそ、新しいトレーニング開発の主な優先事項は必ずしも技術的能力ではなく、むしろ戦略的でビジネス指向の能力にある。熟練度レベルに焦点を当てると、より技術的で品質関連の能力がギャップのリストに追加される。」
投資であれ、システムのレジリエンスであれ、労働力の再スキル化であれ、より広範な産業複合体はサイバーセキュリティにおける大きなマラソンだ。それは永続的なものになると予想される。
