制御システムへの影響が想定されたサイバー攻撃の約半数がランサムウェアによるもの——。工場の制御システムを狙うサイバー脅威が事業継続を脅かす深刻なリスクとなっている現状が明らかになった。
5月26日に開催されたWebセミナー「TECH+セミナー 製造業×OTセキュリティ 2025 May. 工場・製造現場を守るセキュリティ事故の予防と対応策」において警鐘を鳴らしたのは、JPCERTコーディネーションセンター(JPCERT/CC) 国内コーディネーショングループ 制御システムセキュリティ シニアアナリストの河野一之氏だ。15年以上にわたって製造業を含む制御システムセキュリティを支援してきた同組織が蓄積した知見から、変化するサイバー脅威の実態と効果的な対策について詳しく解説した。
ランサムウェアによる間接影響が事業継続リスクに
河野氏はまず、ICS(Industrial Control System)/OT(Operational Technology)と呼ばれる制御システムに対するサイバー脅威の変化について説明した。
従来は制御システムの技術を取り込んだマルウェアによる直接的な脅威が注目されていたが、近年はランサムウェアなどにより情報システムが被害を受けた際に、その影響が制御システムや生産設備にも及ぶ「間接影響」が増加している。
「結果的に、ICS/OTへのサイバー脅威が高まる、またランサムウェアをはじめとした間接影響が高まるとなると、それは事業継続に対する大きなリスク因子になります」(河野氏)
JPCERT/CCが2024年に収集したOT影響が想定された国内外の事案170件のうち、約48%がランサムウェアによるものであった。被害業種は多種多様で、製造業も多数含まれている。
-
OT影響が想定された国内外の事案の件数と、ランサムウェア事案の割合
さらに、警察庁が公表している国内製造業におけるランサムウェア被害の統計によると、2022年75件、2023年67件、2024年65件と、製造業が3年連続で被害件数トップであり、高止まりしている状況が示された。被害組織の規模別では中小企業が約6割を占める。同氏は「サイバー攻撃の被害に遭う組織は、その規模とは関係がないことがうかがえる」と、事業規模にかかわらず対策することの必要性を訴えた。
-
国内製造業におけるランサムウェア被害の統計
リスク低減の鍵は、脆弱性対策
河野氏は、サイバー攻撃が成功してしまう一因として「脆弱性の悪用」を挙げた。JPCERT/CCと情報処理推進機構(IPA)が共同運用する脆弱性情報ポータルサイト「JVN (Japan Vulnerability Notes)」で2024年に公表された脆弱性情報462件のうち、ICS/OTに影響を与える攻撃にどの程度活用されたかは定かではないものの、JVNでの公表時点で悪用が確認されたものは3件、検証用コード(PoCコード)の公開が確認されたものは6件あったという。
「PoCコードは本来検証目的のものだが、サイバー攻撃ツールとして転用されるリスクがあります。また、この3件や6件という数字は小さく見えるかもしれませんが、1つの脆弱性が多くの企業に影響を与える可能性があり、被害の実態を表しているわけではありません」(河野氏)
セキュリティリスクは脅威と脆弱性の掛け合わせによるところが大きいが、攻撃者側にある脅威をコントロールするのは困難である一方、自社システムの脆弱性対応はある程度可能だ。同氏は「脆弱性対応は、皆さんの組織でコントロールが可能な、有効なアプローチのひとつ」と強調した。
制御系SIRT構築への関心が高まる
では、脆弱性対策をはじめとする制御システムに関するセキュリティ対応を誰が担うべきなのか。そこで注目されるのが「制御系SIRT(Security Incident Response Team)」の構築である。CSIRT(Computer Security Incident Response Team)やSIRTは、セキュリティ事故対応チームのことだが、従来のCSIRTは情報システム部門で構成されることが多く情報システム向けとなりやすいため、制御システムの特性に対応できない課題がある。そこで、JPCERT/CCでは、制御システムを対象としたSIRTを便宜的に「制御系SIRT」(一般に、製造業では「FSIRT」「OT-SIRT」等と呼称しているケースもある)と呼称している。
「制御システムは情報システムとは特性が異なり、運用事情も生産優先となるなど、情報システム観点のセキュリティの知識だけでは対応が難しい。一方で、制御システム担当者はセキュリティ知見が十分でない場合がある」と河野氏は説明した。そのため、、制御系SIRTは、セキュリティの知識を持つ情報システム部門の人材と制御システムの知識を持つ人材による混成部隊であるケースが多いという。
JPCERT/CCの調査によると、国内では143組織が制御系SIRTの構築・検討を進めているが、十分に組織化できているところは少ない。しかし、過去にCSIRTが急速に普及した経緯を踏まえると、今後、制御系SIRTの需要も高まる可能性がある。
実際にJPCERT/CCへの相談内容も、「インシデント対応を想定した資産管理」や「制御システム特有のインシデント事象の報告基準」など、有事への備えに関するものへ変化してきているそうだ。
実務者視点の手引き書を公開
手探りで構築する組織が多いことを受けて、JPCERT/CCは「制御系SIRTの機能を備えるための手引き」を公開した。この手引き書は製造業のICS/OTセキュリティ担当者が集まるコミュニティで実務者視点から検討された内容を盛り込んでいる。
手引き書では、セキュリティ観点での資産管理表作成の重要性や、ICS/OT特有の侵害事象の早期検知方法などを解説している。河野氏は「故障と思ってメーカーに機器交換を依頼したら、実はウィルス感染していたというケースもある」と事例を紹介し、制御システム特有の事象を見極める重要性を強調した。
支援の活用を
講演の最後に河野氏は、JPCERT/CCが中立的な立場で製造業のセキュリティ支援を行っていることを改めて説明。同組織では制御系SIRTの構築・運用支援、脆弱性情報の活用支援、セキュリティ事故の調査支援などを提供しており、制御システムセキュリティに関わるさまざまな相談に応じている。同氏は「まずは気軽にご相談を」とメッセージを送った。また、前述の製造業向けセキュリティ担当者コミュニティも運営しており、参加を呼びかけた。
サイバー脅威が複雑化するなか、製造業においても従来の直接的脅威に加えて間接影響への備えが不可欠となっている。制御系SIRTの構築と平時からの脆弱性対策により、事業継続リスクの低減を図ることが求められている。
Windows 10で普及しなかった機能10選
