英セラフィールド　サイバーセキュリティ不備で罰金

セラフィールド・サイト全景　　©Sellafield Limited

英原子力規制庁（ONR）による起訴を受け10月2日、セラフィールド社は4年間のサイバーセキュリティー上の不備により332,500ポンド（約6,500万円）の罰金を科された。

英国原子力廃止措置機関（NDA）の傘下にある同社は、カンブリア州で広大な原子力施設を運営している。具体的には、旧原子力施設から発生した放射性廃棄物などの回収、プルトニウムやウランを含む特殊核物質の貯蔵、使用済み燃料の管理、サイト内の施設の解体処理などを実施している。

ONRは、2019年から2023年にかけてのセラフィールド社のITシステムのセキュリティー管理が、2003年の原子力産業セキュリティ規則に違反していると認定。ONRによると、セラフィールド社はサイバーセキュリティーと機密性の高い原子力情報の保護に関し、定められた基準、手順、取決めを満たしておらず、かなりの期間にわたり重大な不備があったことが判明したという。セラフィールド社はこの状態を放置し、実際に脆弱性が悪用されたという証拠はないものの、同社のITシステムが不正アクセスやデータ損失に対して脆弱であったとONRは判断した。

ONRの検査官は2023年、ランサムウェア攻撃が成功した場合、現場での重要な「危険性の高いリスク軽減」作業に影響を与え、IT運用がその後通常の状態に戻るまでに最大18か月かかる可能性があると指摘。セラフィールド社内でも、フィッシング攻撃や悪意のある内部関係者が、重要なデータシステムの損失や情報漏洩を引き起こす可能性があることを認識していたという。攻撃が成功した場合、業務は中断され、施設損傷もしくは、重要な廃止措置作業が遅延する可能性があった。

今年6月にウェストミンスター治安判事裁判所で行われた審問で、セラフィールド社は情報技術ネットワーク上の機密核情報の適切な保護の確保を怠り、承認されたセキュリティ計画の遵守をしなかった罪状を認めた。同裁判所は10月2日、セラフィールド社に対し、違反が中程度の過失と裁定し、332,500ポンドの罰金と訴訟費用53,253.2ポンド（約1,033万円）を支払うよう命じた。

ONRのP. ファイフ規制担当シニアディレクターは、「2003年の原子力産業セキュリティ規則の下での義務を遵守する同社の能力が不十分であったことが認められた。欠陥はかなり長い間知られていたが、我々の介入と指導にもかかわらず、セラフィールド社は効果的に対応できず、セキュリティ侵害とシステムの侵害に対して脆弱な状態となった。ただし、昨年、改善が実施されている」と評価し、「サイバーセキュリティを含むすべてのリスクに対する原子力業界の効果的な管理を保証するために、我々規制当局は必要に応じて厳格な監視を継続する」と強調している。