第6回川口 洋と語る！ セキュリティ時事放談

川口氏

今日は久しぶりにお会いするので楽しみにしていました。以前とは所属部署が変わっていますね。

長谷川氏

部署の名称は「デジタル」ですが、そこでサイバーセキュリティも担当しています。

川口氏

名刺には、CISO（Chief Information Security Officer）補佐の肩書もあります。

長谷川氏

ITとOT（Operational Technology：制御システム）、どちらのセキュリティも担当している立場から、CISOにそれぞれ現場での施策について進言したりしています。業務の一部は、グループ企業で主要なOTを担っている中部電力パワーグリッド株式会社と兼務しての活動です。

川口氏

中部電力パワーグリッドは、数年前に中部電力から分社された会社ですね。発電と送配電を分離したと考えたらいいですか？

長谷川氏

そうですね。2020年4月、送配電事業会社として中部電力から分社しました。

川口氏

所長を務められているエキスパートセキュリティセンターは、どのような組織ですか？

長谷川氏

主な業務はグループ会社も含めたセキュリティ戦略の策定や、インシデントの監視・対処・分析、社員向けのセキュリティ教育・訓練のほか、外部組織との連携などです。また、ペネトレーションテストなどを内製化し、高度スキルが必要な施策も実施しています。

サイバーセキュリティ業務の内製化では、IPA（独立行政法人情報処理推進機構）産業サイバーセキュリティセンター（ICSCoE）で学んだ社員が活躍しています。ICSCoEは、ITとOTの知見を結集させた世界レベルのサイバーセキュリティ対策の中核拠点として、サイバー攻撃に対処できる人材・組織・技術を育成・強化することを目的に設立されました。企業から選ばれた人材が集まって、1年間共に学びます。当社の社員が学んでいるのは、ICSCoEの中核人材育成プログラムです。ITとOTのサイバーセキュリティに関する技術スキルやビジネススキルの習得、マネジメント・リーダーシップを経験してきた社員は、日々、当社のさまざまな重要セキュリティ施策に取り組んでいます。

川口氏

ICSCoE中核人材育成プログラムの2026年度の募集は10期生でしたが、長谷川さんは何期生ですか？

長谷川氏

2期生です。2019年に修了して7年たちましたが、さまざまなコミュニティ活動にも主体的に取り組んできました。その一つが中核人材育成プログラムの修了者コミュニティ「叶会（かなえかい）」です。現在、会長としてコミュニティ全体で期を越えた人脈形成や情報共有を活性化させるための活動をしています。また、会内で地域コミュニティ活動（今のところは中部、関西）も立ち上げ、中部地域では当該地域の修了者約50名と定期的に情報共有や勉強会を行っています。そのほかにも、地域の産官学連携を目的とした「中部サイバーセキュリティコミュニティ（CCSC）」や、日本シーサート協議会地区活動委員として、愛知県と静岡県の加盟組織（約20組織）との定期的な情報交換会「Chubu Yoriai会」を運営しています。

川口氏

電力といえば、過去に起こった海外でのサイバー攻撃事例を見ても、セキュリティ対策に対してプレッシャーがかかる分野です。2026年にもアメリカがベネズエラの大統領を拘束するためにサイバー攻撃を仕掛け、停電を引き起こした可能性が指摘されていますが、国家レベルの攻撃には民間企業は太刀打ちできません。

長谷川氏

サイバー空間の場合、現実に見ている世界とは異なり、攻撃者が私たちをだますことも容易で、サイバー攻撃への危機感は年々高まっていますが、依然として物理的な設備への影響が大きな脅威であることも変わりません。

川口氏

重要インフラの中でも、電力の安定供給を維持することは国民生活と経済活動を支えるために最重要課題といわれます。

長谷川氏

そうですね。近年は法律の整備が進んでいますので、当社でも対応中です。直近では、深刻なサイバー攻撃から重要インフラを守るための「能動的サイバー防御（ACD）法^※」が2026年中に運用開始されることもあり、社内での実務対応だけでなく、中部地区の重要インフラ間で業界の垣根を越えた情報共有も行っています。

• 正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」。「サイバー対処能力強化法」と「サイバー対処能力整備法」2つの法律で構成される。2026年3月17日の閣議で、攻撃元の無害化措置を2026年10月1日から可能とすることが決定した。

川口氏

重要インフラといえば、2023年7月に発生した名古屋港のコンテナターミナルのシステムがランサムウェアによるサイバー攻撃を受けたこと表がきっかけで、2024年に「港湾運送」が追加され従来の14分野から15分野に拡大しましたよね。長谷川さんは、あの事件をどのように捉えていますか？

長谷川氏

名古屋港という身近な場所で起こったこともあり、インフラが止まることによる社会的な影響の大きさを感じました。周辺で大渋滞が発生したり、物流サプライチェーンへの影響が目に見えて起こるなど、実世界に与えたインパクトが大きかったですね。それまでサイバー攻撃を知らなかった人たちが、具体的なリスクを目の当たりにした事例だったと思います。

川口氏

名古屋といえば、長年継続されているセキュリティコミュニティがありますよね。さまざまな人が関わられていますが、主催しているのが業務でセキュリティに関わっていない方というのがユニークだと思っていました。長谷川さんも会社の業務とは別に、いくつかのセキュリティコミュニティの開催に関わられています。そうした活動を継続していくにあたり、社内の理解や時間の確保についてはどのように調整されているのでしょうか？

長谷川氏

私のコミュニティ活動の原点は、CCSC（中部サイバーセキュリティコミュニティ）です。そこから徐々に広がっていきました。活動を始めたのは、2016年の伊勢志摩サミット（先進国首脳会議）の開催が終わり、国内でオリンピックの開催が控えていた時期です。サミットを終え、社内に“大規模イベントに向けたサイバー対策の準備の必要性”が漂っていたため、幸いにもセキュリティのコミュニティ活動について経営層からの理解が得られやすかったと思います。地域で賛同いただける企業、組織を募り、初回のCCSCは開始を午後5時以降の定時後に、皆さんと懇親しながら地域のサイバーセキュリティについて議論したこともあってか、非常に盛り上がりました。

川口氏

日本を狙ったサイバー攻撃が増えていますが、国民は重要インフラの中でも通信や電力事業者に対して、強固なセキュリティ対策を行ってくれていると信じています。セキュリティ担当者にとって大変な状況が続いていると思いますが、対策の後押しになるような変化は感じますか？

長谷川氏

重要インフラという意味では、良い方向に変わってきたと感じます。先ほど話に出た「ACD法」以外にも、「経済安全保障推進法（経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律）」の施行や、「高圧ガス保安法等」の改正で「サイバー事故調査制度」が始まりました。電力はそれらすべてに該当しますし、受発注では、「サプライチェーン強化に向けたセキュリティ対策評価制度」も関係します。つまり、それだけリスクが高まっているということではありますが……。今後は各電力会社との連携はもちろん、国と一体で脆弱性の管理やインシデントレスポンスに対応していく必要性を感じています。

川口氏

次々と制度が整えられるのは歓迎すべきことですが、対応する作業量が膨大で現場は大変ではないですか？

長谷川氏

経済安全保障推進法に基づく「基幹インフラ役務の安定的な提供の確保に関する制度」は、段階的な施行開始までの準備期間が約2年しかなく、詳細が並行して決まっていったため、調達ルールの作成や関係各所との調整はとても慌ただしかった記憶があります。現在対応中のACD法も2026年中の施行が予定されているため、猶予がありません。近年は、常に何か新しい法律・制度に向けた作業が発生しています。

川口氏

被害を受ければ影響は広範囲にわたりますから、これまでセキュリティの話題の外側にいた、人事や総務などの人たちも巻き込む必要がありますよね。時には業務の中身についても深入りしなければならない場合もあるのではないでしょうか？

長谷川氏

サイバー攻撃によるインシデントが発生すれば、事業の停止に追い込まれる可能性があります。電力が止まれば、社会に与える影響の大きさは計り知れません。インシデント発生を防ぐためには全社的な取り組みが必須ですから、セキュリティを統括する私たちが他部門の業務に関わっていくことも必要です。

川口氏

テクニカル以外の対応が多くなると、コンピューターのセキュリティ対策をやりたいと思って入社した人にとっては「なぜ、コンプライアンス対応ばかりやっているんだろう？」とギャップを感じることもあるかもしれませんね。

長谷川氏

確かにそうですね。私にとってはサイバーの立場から事業に関わる多くの部署・人から刺激を受けられることは、この仕事を楽しいと感じるポイントでもあります。サイバーセキュリティは多くの部門と関わる必要があるため、逆にさまざまな業務や考え方を知ることができ、これまで気づかなかったことが見えるようになったり、サイバーセキュリティの問題であっても、業務を知ることで解決する手段や考え方はいくつもあると知ることができました。視野が広がるという意味で前向きに捉えていただけたらと願っています。

川口氏

長谷川さんは、今ではすっかりセキュリティの人ですが、新卒で入社した当時はセキュリティに関わっていなかったんですよね。

長谷川氏

最初に配属されたのは、システム開発と保守運用を担当している部署でした。担当したのは、アプリケーションのメンテナンスをしながら、少しずつ現在の業務のやり方に合わせて改修する作業です。入社初期は電力としての仕事を学びながらITの技術的な業務も学び、2年目にはグループ会社に出向し、システム開発部門でプログラミングや設計に従事。2年後、本社に戻ってからは再び元の業務を担当しました。電力事業特有の仕事とIT、という２つを常に意識しながらシステム業務に携わったのは困難も多かったですが良い経験になりました。

川口氏

電力会社の業務特性を持ったアプリケーションは内製されていますから、メンテナンスも自分たちで対応する必要がありますね。セキュリティ担当になったのはいつですか？

長谷川氏

入社から5年目です。その年、一部の同期で異動があり、私は同期と入れ替わりでセキュリティ担当者になりました。ちょうど伊勢志摩サミットの開催が決まり、「電力制御システムセキュリティガイドライン」の策定や「電気事業法」にサイバーセキュリティが組み込まれた時期です。業界としてもサイバーセキュリティの強化にかじを切るタイミングでしたが、当時の自社のセキュリティ担当者は私一人。そのため、全社横断的に協力を得るためには、自ら何でもやる必要がありました。中でも一番の難題は、当時まだ黎明期であったOTの全社的なセキュリティ対策の検討です。

川口氏

生産ラインやインフラなど止めることが容易ではないOT資産の耐用年数は長く設定されていますが、セキュリティルールの作成にはこのようなITとは異なる文化や歴史を知ることも必要ですね。

長谷川氏

同じOTでも、配電・送変電・発電など部門ごとに違いがあります。一部でITとの横串が通っても、別の部署には同じやり方は通用しません。この経験で得たのは、各部門の仕事や事業、そして現場のカルチャーを知り、それに合わせたセキュリティ対策、業務設計をしなければセキュリティ対策は進まないということです。当初はサイバーセキュリティの「こうあるべき」という対策を通そうとしていたため、OT部門からは「現場でこの運用はできない」とお叱りを受けました。

川口氏

何もわかっていない若造が何を言っているんだみたいな（笑）

長谷川氏

最初は「そんなルールを通せるわけがないだろう」と反対されました。そこで、どうすれば受け入れてもらえるかを考え、各部門の人たちと何度も会話し、「現場の運用やルールがそれであれば、こういう進め方はどうでしょう？」と粘り強く交渉。そのたびに投げかけられる言葉の一つひとつをしっかり受け止めて、改善を繰り返しました。すると、次第に理解してくれる人が現れ状況が変化します。当時は、私自身、サイバーセキュリティの仕事が新鮮であり、モチベーションが異常に高かったので、「叱られても何度も相談しに行く」、といったことまでやれたのかもしれません（笑）

川口氏

セキュリティを強化するには、「コイツ諦めないな」と思わせるくらい泥臭い対応が必要だということですね。

長谷川氏

長年かけて確立された現場の業務のやり方をセキュリティ強化のために変えるのは、容易ではありません。その業務に関わっている数千人の作業に影響を与える大がかりなプロジェクトですから、成否は現場に納得してもらえるか次第です。後に、最初に厳しい言葉を投げかけられたのは、それに気づかせるためだったと気づきました。時には衝突しながらも、お互いの理解を深めようと私の考えを聞き、一緒に悩んでくれたんだなと。

川口氏

簡単に止めることができないOTの現場を背負っている方と意見を戦わせるのは、壮絶な経験でしたね。外部の人間は、重要インフラ事業者が個人情報を漏らすような管理をしているわけがないと思っていますから、相当なプレッシャーを感じているのではないですか？

長谷川氏

信頼を裏切らないためには、ルールの徹底はもちろん、全社員がもっとリスクを認識することや、当社が技術的にどこまで対応できているか、従業員のお一人お一人が何を日頃、意識しなければならないか、知ってもらう必要がありますので、社内向けの発信を強化しています。

川口氏

社内への発信は、セキュリティ対策を円滑に進めるために重要ですね。

長谷川氏

その通りです。現場では日常の業務をこなすだけでも忙しいところに、セキュリティ強化のためとはいえプラスαの作業が発生するため、理解活動が最も大事です。

川口氏

現場からは、なぜしつこく何度も言うのかと責められることもありますよね。でも、言わなければパスワードを使い回してすべて同じ設定にして、簡単に侵入を許す脆弱な環境を生んでしまいますから、継続的なアナウンスは必要です。クラウドサービスの普及など、IT環境が変化している状況でセキュリティ担当者の苦労が多いことは、想像に難くありません。

長谷川氏

技術的な対応や法律等への遵守に伴う業務以外にもサイバーセキュリティの業務は多くあり、これらすべてにリソースを割けるかといえば、実際のところ人員の不足は否めません。人材不足の解決の一つには、社内外問わずセキュリティの仕事のやりがいや楽しさを多くの人に知ってもらい、サイバーセキュリティ人材になりたいと思ってくれる人を増やしていく必要があります。そのためには、もっとサイバーセキュリティに関わる仕事自体の認知度を上げる活動への注力も必要だと考えています。

川口氏

近年発生したセキュリティインシデントで気になっているニュースはありますか？

長谷川氏

2025年に発生した、イギリスの自動車会社へのサイバー攻撃です。1か月以上全世界で生産停止を余儀なくされ、イギリス政府が融資保証で約3,000億円投入するという異例の措置が講じられました。委託先の資金繰りが苦しくなるなど、この問題はイギリス社会全体に甚大な被害を及ぼすことになります。サプライチェーンを持つ事業会社にとって、他人事とは思えませんでした。

川口氏

国内に置き換えると、日本最大手の自動車メーカーの工場が1か月停止したのと同じようなインパクトですね。イギリスの自動車会社の事例でイギリス政府が動いたのは、サプライチェーン全体の資金繰りの下支えも目的だったようですが、サプライチェーンには難しい問題が山積しています。日本でも、サイバー攻撃を受けたメーカー企業からの発注が受けられず、取引先企業が倒産してしまった事例がありました。メーカー企業は大口の取引先から支払い処理をしていくため、その先にいる中小企業では年内の売り上げが立たず、1社への依存率が高ければ倒産に追い込まれてしまいます。

長谷川氏

本事案が公式に公表されたのは、2025年9月でしたが、日本ではその後発生した大手飲料メーカーや通販大手のランサムウェア被害のインパクトが大きかったため、あまり話題にならなかったのかもしれません。

川口氏

大手飲料メーカーと通販大手へのランサムウェア攻撃は、日頃サイバーセキュリティを意識していない一般の人たちがサイバー攻撃に関心を高めた事例でしたね。

長谷川氏

影響が出たのが皆さんに身近な飲料でしたから、セキュリティ関係者以外の方々の間でも話題になりました。

川口氏

あれだけのインパクトでしたから、会社の経営層から攻撃の経緯や自社の対策について聞かれる機会があったと思います。長谷川さんが社内外の活動で不在だった際の対応はどうしていたのですか？

長谷川氏

今はリモートでの業務も浸透してきていることや、事前の準備等をしっかりと行って、組織として活動ができるように設計・意識しています。また、セキュリティ組織の人数も増やしていますので、外出中の対応は組織としてカバーしてもらえます。外部での活動を継続できているのも、周囲の協力が得られているおかげです。

長谷川氏

今、サイバーセキュリティに関わる業務領域は急速に拡大しています。事業継続の一翼を担うため大変なことも多いですが、重要な役割を担わせていただいているこの状況を楽しんで仕事をしていきたいですね。そして、サイバーセキュリティに携わられている皆さまには、組織内でその業務を担当しているのが仮にお一人、少人数だとしても、一人で悩まないでください。サイバーセキュリティとITは事業と密接に絡んでいますから、事業部門の方々とコミュニケーションを取ってそれぞれの業務を理解しながら調整することが組織としての協力につながると思います。また、外部のセキュリティコミュニティや勉強会に参加してみることもお勧めです。同じ悩みを抱えている人たちとの会話により、良いプラクティスを共有してもらえることもあるため、皆さんの心の支えになるはずです。