水素経済ナビゲーター

拡大する水素インフラへのサイバーリスク：政策課題と対策の方向性

導入

世界各国で脱炭素社会実現に向けた取り組みが加速する中、水素は次世代エネルギーキャリアとしてその重要性を増しています。製造、輸送、貯蔵、利用に至るまでの大規模な水素インフラの構築が進められていますが、同時に、この新たなエネルギーシステムが直面する潜在的なリスクへの対策も不可欠です。特に、サイバーセキュリティは、物理的なインフラの安全性や安定供給を脅かす可能性のある重大な課題として、政策担当者が深く注視すべき領域です。

エネルギーインフラは、その社会的な重要性から、常にサイバー攻撃の標的となりやすい性質を持っています。水素インフラにおいても、制御システム（OT/ICS）や情報システム（IT）へのサイバー攻撃は、設備の誤作動、停止、物理的な損傷、さらにはサプライチェーン全体の混乱を招く可能性があります。本稿では、拡大する水素インフラが直面するサイバーリスクの性質を分析し、主要国の政策動向を踏まえつつ、日本の現状と政策課題、今後の対策の方向性について考察します。

水素インフラにおけるサイバーリスクの具体的な性質

水素インフラは、製造プラント、圧縮・液化施設、パイプライン、貯蔵設備、輸送車両・船舶、水素ステーション、燃料電池システムなど、多岐にわたる要素で構成されており、それぞれが異なるサイバーリスクを抱えています。

主要なリスクとしては、以下のような点が挙げられます。

• 制御システム（OT/ICS）への攻撃: 水素の製造プロセス、圧縮、貯蔵、供給などを制御するシステムが標的となる可能性があります。これにより、誤った圧力や温度での運転、緊急停止システムの無効化、意図しない設備の稼働などが引き起こされ、物理的な事故やサプライチェーンの停止につながる危険性があります。
• 情報システム（IT）への攻撃: 請求システム、顧客情報管理、運用計画システムなどが標的となる可能性があります。情報漏洩に加え、運用データや計画の改ざんは、インフラ全体の効率性や安全性を損なう可能性があります。
• OT/IT連携に起因するリスク: 効率的な運用やリモート監視のためにOTシステムとITシステムの連携が進むにつれて、IT側の脆弱性がOT側への攻撃経路となり得ます。また、クラウドサービスの利用拡大も新たなリスクをもたらします。
• サプライチェーン全体でのリスク伝播: 多数の異なる事業者（製造、輸送、設備メーカー、IT/OTシステムベンダーなど）が関与する複雑なサプライチェーンにおいては、一部の事業者のセキュリティ対策の不備が、サプライチェーン全体のリスクとなる可能性があります。
• 新たな技術要素に伴うリスク: AIによる運用最適化、IoTセンサーによる監視、デジタルツインなどの導入は、運用効率を高める一方で、新たな攻撃対象や脆弱性を生み出す可能性があります。

主要国・地域の現状と政策動向

欧米を中心に、エネルギーインフラを含む重要インフラのサイバーセキュリティ強化は、国家安全保障上の優先課題として位置づけられています。

• 米国: 大統領令や国家戦略に基づき、エネルギー分野を含む重要インフラセクターに対するサイバーセキュリティ基準の策定や、情報共有体制の強化が進められています。産業制御システム（ICS）のセキュリティ強化に重点が置かれており、ベストプラクティスやガイドラインが公表されています。水素インフラについても、既存のエネルギーインフラ保護の枠組みの中に位置づけられつつ、その特殊性に応じた検討が進められる可能性があります。
• 欧州連合（EU）: NIS指令（ネットワーク・情報システムセキュリティ指令）やその改正版であるNIS2指令により、エネルギーセクターを含む重要インフラ事業者に対するセキュリティ要件やインシデント報告義務が強化されています。水素インフラ関連事業者もこれらの対象となることが想定されており、加盟国間での情報共有や連携も推進されています。また、特定の機器やサービスのサイバーセキュリティ認証に関する議論も進んでいます。

これらの国・地域では、サイバー攻撃の脅威が物理的な安全や経済活動に直結するという認識のもと、規制強化、官民連携による情報共有、演習の実施、技術開発支援などが一体的に進められています。

日本の水素インフラにおけるサイバーセキュリティの現状と課題

日本においても、重要インフラのサイバーセキュリティ対策は国家レベルで推進されています。電力、ガスなどの既存エネルギーインフラは、重要インフラサービス事業者として対策が求められています。

水素インフラについては、現在のところ既存の重要インフラ保護の枠組みとの整合性を図りつつ、対策を進めることが基本的な考え方となります。しかし、水素という新しいエネルギーキャリアの特性や、急速に多様化・分散化するインフラ形態に対応するためには、いくつかの課題が存在します。

• 水素特有の技術・運用への対応: 水素の製造、輸送、貯蔵、利用に関わる新しい技術や設備、運用形態は、既存のエネルギーインフラとは異なるサイバーリスク特性を持つ可能性があります。これらの特性を踏まえたリスク評価や必要なセキュリティ対策の検討が必要です。
• サプライチェーン全体でのセキュリティレベルの底上げ: 大手事業者だけでなく、中小規模の機器メーカー、施工業者、運用事業者など、水素サプライチェーンに関わる幅広い事業者のセキュリティ意識向上と対策の実施が不可欠です。全体のセキュリティレベルは最も弱い部分に規定されるため、連携による底上げが課題となります。
• OT/IT人材の育成と確保: エネルギー分野のOTシステムとサイバーセキュリティの両方に深い知識を持つ専門人材は限られています。急速に拡大する水素分野において、これらの専門家を育成・確保し、現場での対策を推進できる体制を構築することが急務です。
• 情報共有と連携体制の構築: 潜在的な脅威情報やインシデント発生時の情報を迅速かつ正確に共有し、官民連携で対策を講じる体制の構築が重要です。既存の枠組みを活用しつつ、水素分野特有の情報共有のあり方を検討する必要があります。

政策的な対応の方向性

これらの課題を踏まえ、水素インフラのサイバーセキュリティ強化に向けた政策的な対応としては、以下の方向性が考えられます。

• セキュリティ基準・ガイドラインの策定・強化: 水素インフラの各段階（製造、輸送、貯蔵、利用）や関連システム（制御システム、情報システム、データ連携基盤など）の特性を踏まえた、具体的なセキュリティ要件や推奨される対策を示すガイドラインを策定・公開します。必要に応じて、重要度に応じた規制的な措置も検討される可能性があります。
• 情報共有体制の構築と強化: サイバー脅威情報、脆弱性情報、インシデント発生時の情報を官民間で迅速かつ的確に共有するためのプラットフォームや枠組みを構築・強化します。海外の関連機関との連携も推進します。
• サイバー攻撃演習・訓練の実施支援: 事業者が自社の対応能力を確認し、インシデント発生時に適切に行動できるよう、実践的なサイバー攻撃演習や対応訓練の実施を促進し、必要に応じて支援を提供します。
• 技術開発・導入支援: 水素インフラ特有のサイバーセキュリティ課題に対応するための技術（例: OTセキュリティ技術、異常検知技術、レジリエンス強化技術）の開発や、中小企業を含む事業者のセキュリティ対策技術の導入に対する支援策を検討します。
• サプライヤーセキュリティの強化: 水素インフラを構成する機器やシステムを供給するベンダーに対して、一定のセキュリティ基準を満たすことを求めるなど、サプライチェーン全体でのセキュリティレベル向上に資する仕組みを検討します。
• 専門人材育成プログラムの推進: エネルギーOTセキュリティや水素分野の知見を持つサイバーセキュリティ専門家を育成するためのプログラムを推進し、事業者が必要な人材を確保できるよう支援します。

結論/まとめ

水素インフラの拡大は、脱炭素社会実現に向けた重要なステップですが、これに伴うサイバーセキュリティリスクへの適切な対応が、その健全な発展とエネルギー安全保障確保の鍵となります。サイバー攻撃は、物理的な安全や安定供給を直接脅かす可能性があるため、技術的な対策だけでなく、政策的な枠組みによるリスク管理と対策推進が不可欠です。

今後は、水素インフラの特性を踏まえた具体的なセキュリティ基準の策定、官民連携による情報共有体制の構築、サプライチェーン全体のセキュリティレベル向上、そして専門人材の育成が、政策担当者にとって特に注力すべき課題と考えられます。国際的な動向やベストプラクティスも参考にしつつ、継続的なリスク評価と対策の見直しを進めることが、レジリエントな水素経済の実現につながるものと考えられます。