ここから本文
株式会社ビーシーシー 様
2024年6月
目次
広島県福山市を拠点に法人・自治体向けソリューションやエネルギーマネジメントソリューションを提供する株式会社ビーシーシー。同社は太陽光発電事業者等に提供している「EneWatch 太陽光発電遠隔監視・表示システム」のセキュリティー強化のため、三菱電機インフォメーションネットワーク株式会社(MIND)の「Webアプリケーションセキュリティー診断サービス」を活用しました。その結果をもとに対策を実施したことで、経済産業省が定める「自家用電気工作物に係るサイバーセキュリティーの確保に関するガイドライン」に沿ったセキュリティーレベルの向上を果たすとともに、お客様の信頼を獲得することができました。
左から、
エンジニアリング福山事業部 エネルギーマネジメントシステム部長 池田 春樹 氏、
エンジニアリング福山事業部 エネルギーマネジメント システム部 次長 兼 営業課長 和田 圭司 氏、
エンジニアリング福山事業部 エネルギーマネジメントシステム部 開発技術グループマネージャー 丸山 力与 氏
ビーシーシーは三菱電機グループの情報システムサービス企業として、企業などの業務を支えるシステムや、三菱電機のFA 製品に組み込むソフトウェアなどの開発を手掛けています。近年は、SDGsの達成やカーボンニュートラルの実現に貢献すべく、太陽光発電の状況や消費エネルギーを「見える化」する省エネ支援システム「EneWatch(エネウォッチ)シリーズ」を自社ブランドで展開しています。
EneWatchシリーズにおいて、太陽光発電所の発電情報や異常情報を遠隔で監視するシステムが「EneWatch太陽光発電遠隔監視・表示システム(以下、遠隔監視システム)」です。お客様の太陽光発電所に設置した受発電収集サーバーが電力変換装置の制御情報、発電所の気象情報(日射・気温等)、設備状態情報、電力計測情報などの各種データを一括収集し、インターネットを介して同社が運用するデータセンターに転送。送られたデータをデータセンターの遠隔監視システムサーバー上で可視化して、発電事業者や管理会社にWebサービスとして提供します。
発電事業者や管理会社は遠隔監視システムにより、太陽光発電所の状況や発電量の推移を遠隔から確認できるほか、異常発生時にはアラートを受信することができます。エネルギーマネジメントシステム部長の池田春樹氏は「遠隔監視システムの活用により、発電設備管理・監視の省人化と発電設備の早期復旧による売電損失の最小化を実現します。現在は、発電した電力を自社設備で使用する“自家消費型太陽光発電”でのニーズが高く、日本全国で約1,400ヶ所の発電所に導入されています」と語ります。
同社がMINDのWebアプリケーションセキュリティー診断サービスを利用するに至った背景は、経済産業省が自家用電気工作物に係るサイバーセキュリティーの確保に関するガイドライン(以下、自家用GL)を制定し、2022年10月から工場やビル、病院などに設置された電気設備に対するサイバーセキュリティーの確保が義務化されたことにありました。自家用GLの適用範囲は、設置者が施設する自家用電気工作物の遠隔監視システムや制御システム、それに付随するネットワークが対象で、これらに携わる者として設置者や保安管理業務の外部委託の受託者、遠隔監視サービス提供事業者などが対象とされています。
自家用GLではセキュリティーを組織、文書化、機器、通信、システム、運用、物理、セキュリティー事故対応で分類し、必要な対策を整理しています。エネルギーマネジメントシステム部 次長 兼 営業課長の和田圭司氏は「自家用GLが公開されて以降、お客様から『自家用GLに対応していますか?』といった問い合わせや、システム要件のチェックシートに記載を求められる機会が増えました。私たちがお客様へ継続的に遠隔監視システムを提供するためには、Webアプリケーションの脆弱性診断と対策を早急に実施し、サイバーセキュリティーを確保する必要がありました」と振り返ります。
脆弱性診断の実施を検討していた同社は、MINDのWebアプリケーションセキュリティー診断サービスを利用することに決めました。決め手は、同じ三菱電機グループという安心感に加え、手動によるきめ細かい診断と手厚いアフターサービスにありました。
「診断サービスには、『簡易診断』と、ツールに加えて手動での追加検査や診断員による診断結果の精査などが含まれる『プロフェッショナル診断』の2つがあると聞きました。今回は初めての診断であり、しっかりと状況を把握したいという考えから、プロフェッショナル診断を利用することにしました」(池田氏)
ビーシーシーはセキュリティー診断を2023年6月に受診。MINDの報告をもとにプログラムのセキュリティー強化を施したうえで、2023年10月に再診断を実施、対応が必要な脆弱性が残存していないことを確認しました。エネルギーマネジメントシステム部 開発技術グループマネージャーの丸山力与氏は、Webアプリケーションセキュリティー診断サービスについて次のように語ります。
「診断結果は、警告レベルがHigh(高)、Middle(中)、Low(低)の3段階あり、Info(付帯情報)を含めて4段階で報告がありました。診断レポートは非常によくまとまっており、脆弱性に対して、一般的な推奨対策方法も記載されていましたので、改修の要否を判断するのに役立ちました」
診断に要する日数は、対象システムの規模により異なりますが、同社の場合は約1週間で約40画面を受診しました。
「当初、診断対象の画面は、自分たちでピックアップしてお伝えすると思っていたところ、MIND側ですべて診断すべき画面をピックアップしていただけたこともあり、私たちはトップ画面のURLを伝えるだけで済み、手間はほとんどかかりませんでした」(丸山氏)
ビーシーシー様システム構成およびWebセキュリティー診断実施イメージ
Webアプリケーションセキュリティー診断サービスの実施とその対策により、遠隔監視システムのセキュリティーを強化し、自家用GLへ対応することができました。診断結果を経営層や品質保証部門と共有して全社的にセキュリティー意識を高める取り組みも進めています。
サービスを提供する発電事業者や管理会社に対しても、自家用GLへの対応に関する問い合わせを受けた際や、システム要件のチェックシートへの記載を求められた際に、対応していることを回答できるようになりました。
「自家用GLに則ったサイバーセキュリティーの確保は、お客様との商談の大前提となるもので、今やこれがなければ商談の場に上がることすらできないと考えています」(和田氏)
サイバー攻撃は年々進化し、新たな脅威は日々生まれているため、脆弱性診断を1度受診すれば安心というものではありません。同社では、継続的なWebアプリケーションセキュリティー診断サービスの実施を考えています。
「2023年度は初回ということでプロフェッショナル診断を受けましたが、状況に応じて簡易診断を受けることも検討しています。セキュリティー診断は一過性のものでなく、繰り返し実施することが大切だと思っていますので、MINDには引き続きの支援をお願いしたいと思っています」(池田氏)
「情報ビジネスを通じて社会に貢献する」を社是とするビーシーシーは、顧客第一主義に徹して、セキュリティーの強化に取り組んでいきます。
