近年、製造業の分野において、情報セキュリティの重要性が急速に高まっている。デジタル化やIoT(Internet of Things)の進展に伴い、工場のスマート化やサプライチェーンのデジタル連携が不可欠となると同時に、サイバー攻撃のリスクも増大しているからだ。
こうしたリスクを的確に回避するには、製造業を狙うサイバー攻撃の最新動向を押さえ、セキュリティ対策を講じていくことが必須となる。
本稿では、製造業において認識しておく必要がある主なサイバー攻撃の種類やそれらへの対策などについて解説する。
セキュリティリスクが高まる背景
製造業におけるセキュリティリスクの増加の一因となっているのは、デジタル化とIoTの進展だ。工場のスマートファクトリー化やサプライチェーンのデジタル連携は、生産性の向上をもたらすが、同時に新たな脅威を引き寄せる。これに立ち向かうには、より高度なセキュリティ対策と、各企業のセキュリティリテラシーの向上が求められる。
デジタル化とIoTの進展
製造プロセスの自動化や効率化が進み、スマートファクトリーと呼ばれる新しい工場運営の形態が普及しつつある。これにより、データのリアルタイム収集と分析が可能となり、より迅速な意思決定ができるようになる。それ自体は経営において大きなメリットである一方、製造関連のデータや機器がネットワークにつながることで、サイバー攻撃に対するリスクも増大することは否めない。
サプライチェーンのデジタル連携
サプライチェーンのデジタル連携は、製造業におけるセキュリティの新たな課題を生み出す要因ともなっている。
もちろん、データのリアルタイム共有や自動化されたプロセスがもたらす効率化は、大きな利点だ。だが、各取引先やサプライヤーが使用するシステム間でデータが連携することで、不正アクセスやデータ漏洩のリスクは高まってしまう。対策として、各社で統一されたセキュリティポリシーの策定と、その厳格な実施が不可欠である。
製造業における主なサイバー攻撃の種類
製造業のインシデント(事件・事故)で頻出するキーワードに、ランサムウェア攻撃、フィッシング、サプライチェーン攻撃がある。
ランサムウェア攻撃は、システムを暗号化して使用不能にし、解除のために身代金を要求する手法である。フィッシングは、何らかの手段で従業員を偽サイトに誘導し、機密情報を引き出す詐欺手法であり、特にメールを介した攻撃が多い。サプライチェーン攻撃は、攻撃者が狙った企業の取引先やパートナー企業を通じて不正にシステムに侵入する方法で、多くの企業にとって大きな脅威となっている。
これらは複合的に発生するもので、例えば、大手製造業を狙ったサプライチェーン攻撃にて、下請け企業がフィッシングを契機にランサムウェア攻撃の被害に遭うといった事象が生じることもしばしばある。
セキュリティ対策の進め方
では、実際どのようにセキュリティ対策を進めればよいのだろうか。順に説明していこう。
資産を整理し最適化する
セキュリティ対策を強化するには、資産の整理と最適化が不可欠である。まず、自社が保有する全てのデジタル資産や設備をリスト化し、重要度やリスクレベルに応じて分類することが重要である。これにより、どの資産が最も保護すべき対象であるかを明確にできる。
次に、資産の配置や運用方法を見直し、効率化することが求められる。具体的には、古いシステムの更新や不要なデバイスの廃棄などがこれにあたる。このような取り組みは、セキュリティリスクの低減とともに、運用コストの削減にもつながる。
セキュリティ対策の立案と実施
続いて、現状のリスク評価を行う。リスク評価では、脅威の種類や影響の範囲を洗い出し、それぞれのリスクに優先順位をつけることが重要だ。その上で、サイバーセキュリティフレームワークやベストプラクティスに準じた計画を立案する。計画の実施段階では、目的に応じたセキュリティソリューションの導入と、従業員への教育が求められる。
継続的なセキュリティの点検と改善
セキュリティは一度対策を講じたら終わりではない。まず、定期的なセキュリティ監査を実施し、現在の対策が有効であるかどうかを評価することが重要だ。また、最新のサイバー脅威情報を収集し、時折対策を見直すことが必要である。例えば、フィッシング対策として新たなメールフィルタリング技術の導入を検討するといった具合だ。加えて、研修プログラムなどの実施により、従業員のセキュリティ意識を高めることも不可欠である。
サプライチェーン攻撃への対策
先述の通り、製造業においては、工場だけでなく、サプライチェーンの脆弱性を突いた攻撃も増加している。
サプライチェーン攻撃において、攻撃者は、セキュリティ対策が手薄なサプライヤーや外部パートナーを通じて、標的となる企業のシステムへ侵入することを試みる。そのため、まず取引先の信頼性を確認し、セキュリティ基準を共有することが重要である。また、ネットワークセグメンテーションを実施することで、不正アクセスの広がりを抑制できる。もちろん、日々の監視と定期的なセキュリティ評価も欠かせない。
政府や公的機関の支援を活用する
セキュリティ対策を考えていく上では、政府や公的機関が提供する情報も有効活用したい。
例えば、経済産業省と情報処理推進機構(IPA)が発行する「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」では、主に経営者やCISO、セキュリティ担当者を対象に、「サイバーセキュリティ経営ガイドライン Ver 3.0」の「重要10項目」を実践する上でヒントとなる考え方や、事例がまとめられている。
製造業に関しても、工場のサイバーセキュリティ対策について言及されており、「IoT機器が『シャドーIT化』している」「サプライチェーンの委託先企業がセキュリティ対策に協力的でない」といった悩み別に、解決に向けたアプローチ例が紹介されている。ガイドライン本体と合わせて参照することで、セキュリティ対策検討の参考になるはずだ。
また、政府や公的機関からは、中小企業向けに補助金や税制優遇、研修プログラムなど多岐にわたる支援策が提供されている。こうした支援策の利用も視野に入れるとよいだろう。
従業員のセキュリティリテラシー向上
サイバー攻撃の手法は日々進化している。この攻撃を回避するには、システム的な対策だけでなく、従業員一人一人に十分なセキュリティ知識が備わっていることも不可欠だ。また、高いリテラシーを持つ従業員は、日常に潜むセキュリティリスクを早期に発見してくれることも期待できる。企業全体で定期的な教育や訓練を行い、全ての従業員がセキュリティに対する知識と意識を持つことが、セキュリティの確保につながるのである。
従業員教育の方法としては、まずセキュリティ意識を高める基礎的な研修から行うとよいだろう。その目的は、サイバー攻撃の種類や対策を学べるプログラムを実施することで、リスクに対する理解を深め、日常業務で注意を払う習慣を身に付けてもらうことだ。また、定期的なフィッシングメールの模擬訓練を実施することも効果的である。日々の注意力の向上に役立つはずだ。
技術の進化で登場する新たな脅威
近年、AIや機械学習を利用してサイバー攻撃を自動化する動きが増加している。マルウェア攻撃やランサムウェア攻撃が製造業の生産活動に深刻な影響を及ぼすリスクが今まで以上に高まっていることは言うまでもない。
効果的な対策としては、ネットワークセグメンテーションの実施や多層防御アーキテクチャの採用が挙げられる。OTネットワークとITネットワークを分離する、というのも有効だろう。また、従業員への最新の脅威情報の共有と定期的なトレーニングを通じて、全体の対応力を強化することも必要だ。
加えて、製造業における新たな脅威として注目されるのは、IoTデバイスやスマートファクトリーを狙ったサイバー攻撃の増加である。例えば、製造ラインにAIを組み込むことで生産効率が向上するが、そのAI自体がサイバー攻撃の対象となる可能性があるのだ。
また、量子コンピュータの実用化に伴い、既存の暗号技術が無効化されるリスクも考えられる。セキュリティ担当者は、こうした技術動向にも目を向けながら、適切な対策を講じていかなければならない。
製造業が考えるべき今後のセキュリティ対策
本稿では、製造業を取り巻くセキュリティリスクについて解説した。これからのセキュリティ対策として、まず第一に考慮すべきは、デジタル化の進展に対応したセキュリティ強化である。特に、IoTデバイスが増える中で、各デバイスのセキュリティ設定を徹底するのはもはや必須事項だ。続いて、サプライチェーン全体でのセキュリティ体制の確立が求められる。サプライヤーとの連携を強化するとともに、セキュリティ面でも情報共有の範囲を広げることが重要だ。
製造業各社は、デジタル化の推進によって大幅な生産性向上を目指すのと併せて、最新のセキュリティ動向にも注意を払い、万全のセキュリティ体制を確保していただきたい。