製造業のサプライチェーンを標的としたサイバー攻撃が増えている。9月12日に開催された「TECH+セミナー 製造業 - SCM Day 2024 Sep. 強靭な『サプライチェーンマネジメント』Ⅱ」に東芝 技術企画部 サイバーセキュリティセンター ゼネラルマネジャーの下田秀一氏と、同 研究開発センター サイバーセキュリティ技術センター ゼネラルマネジャーの岡田光司氏が登壇。サプライチェーンのセキュリティの動向と自社の対策について話した。

増加する産業分野へのサイバー攻撃と、国レベルで進む対策

産業分野へのサイバー攻撃が増加傾向にある。2010年の制御装置のシステムを狙ったとされるStuxnetによる攻撃を皮切りに、毎年のように大型の攻撃が展開されているのだ。

ここ数年のトレンドはランサムウエア攻撃で、2017年のWannaCry、2018年のRyukなど枚挙にいとまがない。攻撃の対象となるのは海外の企業や施設だけではなく、日本国内の企業にとっても、サイバー攻撃は大きなリスクである。

下田氏によると、製造業や社会インフラのサプライチェーンを狙う攻撃のリスクは、以下の4つに大別できるという。

  • 1.サプライチェーンからの情報漏洩リスク
  • 2.サプライチェーンからの不正侵入などのリスク
  • 3.サプライヤー停止による事業継続リスク
  • 4.ソフトウエアを通じたサプライチェーンリスク

    • 「サプライチェーンのリスク対策は、リスクが広範囲にわたることを念頭に置いて取り組む必要があります」(下田氏)

    産業分野へのサイバー攻撃の増加を受け、政府も対策を進めている。2024年5月17日には、「経済安全保障推進法」の下で重要インフラ事業者の特定重要設備に対して事前審査が導入された。また、重要インフラのサイバーセキュリティ行動計画に基づく安全基準でも、サプライチェーンの観点から改訂が検討されている。そして、経済産業省の「経営ガイドラインver3.0」においても、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であるという旨が明記された。

    世界各国も同じような方向で進んでいる。米国では政府機関に納める製品でSBOM(Software Bill of Materials、ソフトウエア版部品表)管理が義務付けられたほか、連邦政府が利用するIoT機器についてセキュリティ要件を検討中だという。欧州連合(EU)では「サイバーレジリエンス法」などデジタル製品のセキュリティ対策を重視する規制が成立する見通しだ。

    さらに、自動車、医療など産業別でも、製品のライフサイクル全体でセキュリティ対応が求められていると下田氏は話した。

    続いて下田氏は国内の新たな政策の方向性として、以下の3つを紹介した。

  • ・サイバーセキュリティ対策の実効性強化
    • 企業一社一社がセキュリティ対策のレベルを評価して可視化する

  • ・サイバーセキュリティ市場拡大に向けたエコシステムの構築
    • 情報処理安全確保支援士(通称”登録セキスペ”)の活用促進、登録人数も2030年に5万人を目指す

  • ・官民の状況把握力と対処能力の向上
    • 情報処理推進機構(IPA)におけるサイバー情報の集約と分析機能の強化

    逆T字モデルで進める東芝グループのサプライチェーン対策

    このような状況を受けて、東芝グループでもサプライチェーンのセキュリティに取り組んでいる。

    サプライヤー、調達、製造、物流、販売、運用保守、廃棄というサプライチェーンの流れにおいて東芝は製造に位置するが、「サプライヤー向けの上流、そして製造したものをお客さまに届けて稼働して、廃棄するまでの下流でも、対策が必要だと考えている」と下田氏は自社の姿勢を説明する。

    この記事は
    Members+会員の方のみ御覧いただけます

    ログイン/無料会員登録

    会員サービスの詳細はこちら