まさか自分たちが?
他人事ではない製造業のセキュリティリスク
工場のデジタル化や自動化が推進される製造業において、サイバー攻撃によるセキュリティリスクが高まっています。サイバー攻撃の被害に遭うと、工場停止や機密情報の漏えいなど重大な影響を及ぼす可能性があります。
工場におけるセキュリティ対策の重要性は理解しつつも、「自分たちが犯罪者に狙われている」という意識を持っている人は少ないかもしれません。しかし、サイバー攻撃は巧妙化・高度化を続けているため、「もし起こったら」ではなく「いつ起こるか」という視点でセキュリティ対策を講じることが重要です。
今回は、製造業のセキュリティリスクが高まった背景、事例、セキュリティ対策の進め方などを解説します。
- この記事でわかること
サイバー攻撃に狙われる製造業
サイバー攻撃と聞くと、IT企業が対象になりやすいイメージがあるかもしれません。実は、製造業は他の業界と比べてサイバー攻撃に狙われやすい傾向にあります。2023年2月、IBMが発表した調査「X-Force Threat Intelligence Index」によると、2022年にサイバー攻撃に最も狙われた業界は製造業で、2年連続で1位となりました。
サイバー攻撃でシステムが停止すると大きな損害が出るため、製造業は攻撃の対象となりやすいと言われています。特に、産業用制御システムへのサイバー攻撃は、高確率で工場の停止や莫大な金銭的損害をもたらします。「工場の稼働を停止できない」という心理的プレッシャーにつけこみ、犯罪者は製造業のシステムの脆弱性を見つけ出して攻撃をしかけてくるのです。
サイバー攻撃には大別して「標的型」と「ばらまき型」の2種類があります。「標的型」は業務メールを装うなど巧妙に作り込んで特定の企業を狙う攻撃です。対して「ばらまき型」は、無差別に悪意のあるメールなどを広範に送信するものです。たとえサイバー攻撃の標的とされなくても、どの工場もばらまき型攻撃の被害に遭うリスクがあるため、早急に堅牢なセキュリティ対策を立てる必要があります。
代表的なサイバー攻撃
組織内で効果的なセキュリティ対策を打ち出すために、まずはサイバー攻撃の特徴を理解することが大切です。代表的なサイバー攻撃として、ランサムウェアとEmotet(エモテット)の2種類を解説します。
ランサムウェアは、組織のデータを暗号化して使用不能にし、金銭や暗号資産など対価を代わりに要求する恐喝手法です。ランサムウェアは、VPN機器やメール、Webサイトの閲覧、USB接続などが起点となり感染します。最近では、VPN機器の脆弱性を狙って侵入を試みるケースが増加しています。
Emotetは、Eメールに添付されたOffice文書や不正リンクが起点となり、感染をもたらすマルウェアです。添付ファイルやリンク先をうっかり操作してしまいEmotetに感染すると、機密情報の窃取や、ネットワーク経由で他の端末へと感染拡大をもたらします。
製造業においては、バックオフィスの担当者が悪意のあるメールを開いてしまい、端末が感染するケースがあります。ネットワーク経由で工場内の機器やサーバなどに被害を拡大させる恐れがあるので、注意が必要です。
調査や復旧にかかる費用
2023年に警察庁が発表した調査によると、ランサムウェア被害にあった企業のうち46%が「インシデント後の調査や復旧に1,000万円以上かかった」と回答しています。さらに、その中の約3割の企業が5,000万円以上かかったと回答しており、大きな経済的損失を被っていることがわかります。
サイバー攻撃で工場が停止し供給活動が止まってしまうと、損失額はさらに膨れ上がる可能性があります。取引先と契約書で締結した業務を実施できなくなり遅延が生じた場合、損害賠償を請求されるリスクがあるからです。ランサムウェアの被害に遭うと、調査や復旧にコストがかかるだけでなく、社会的信頼を落としかねません。そこで、普段から徹底した安全性の確保が重要です。
製造業のセキュリティリスクが高まった背景
製造業のセキュリティリスクが高まった背景として、デジタル化とDX推進があげられます。さまざまなデジタル技術が発展した近年では、製造業もITを駆使して自動化に取り組み、生産性や効率性の向上を図っています。
従来は独立したネットワークで運用されていた製造業のOT(Operational Technology)環境も、ITネットワークに接続されるようになりました。ITネットワークに接続される機器が増加し、セキュリティリスクが高まったのです。OT環境のセキュリティ対策が追いつかず、未整備のままだと被害に遭うリスクが増大するでしょう。
また、ネットワークに接続されていないOT環境でも攻撃を受けることがあります。例えば、工場で使う機器のメンテナンスで、ベンダーが持ち込むUSBからマルウェアがOT環境に侵入するケースがあります。
現在、サイバー攻撃は巧妙化・高度化しているため、いかなる工場でもサイバー攻撃を受けるリスクがあります。そこで、デジタル化とセキュリティ対策を両輪で進めることが重要です。
製造業におけるセキュリティリスク
工場システムでセキュリティ上の脅威が起こった場合、ランサムウェアによる身代金の要求やシステム停止だけでなく、以下のリスクも想定されます。
-
- 製品や生産に関するデータの漏えいリスク
- 設備や機器の誤作動による事故や災害リスク
- 取引先やサプライチェーンへの被害拡大リスク
- 事業継続が困難になるリスク
製品に関するノウハウや生産プロセスは、製造業にとって重要な知的財産です。それが外部に漏えいしてしまうと、模倣されて競争力が低下する恐れがあります。また、マルウェア感染でシステム障害が発生すると、誤作動が起こりさまざまなリスクが発生するでしょう。
自社でセキュリティ上の脅威が起こると、取引先やサプライチェーンへ被害が拡大するリスクもあります。信頼関係が崩れてしまうと、事業を継続できなくなるかもしれません。また、直近でも、大手メーカーや部品メーカーが、実際にランサムウェア被害にあい、生産・販売に影響が出たという事例が発生しています。
製造業では上記のようなセキュリティリスクを想定し、対策を講じることが重要です。
製造業におけるセキュリティ対策の進め方
いかなる工場もサイバー攻撃にあうリスクがあるため、セキュリティ対策を行う必要があります。ここでは、経済産業省による「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を参考に、セキュリティ対策の進め方を解説します。
<対策1>守るべき資産を整理する
まずは、守るべき資産を整理することから始めましょう。ネットワーク、機器、データなど工場システムの構成要素を洗い出し、システム構造図を整理します。OT環境を構成する機器が、どのネットワークとつながっているか確認することが大切です。
次に、保護対象の要素に優先順位をつけ、セキュリティ対策が必要なゾーンを設定し、保護対象や業務と結びつけます。そして、ネットワーク経由の侵入やプログラムの改ざんなど、ゾーンごとにどのようなセキュリティ脅威があるか整理しましょう。
<対策2>セキュリティ対策を立案する
守るべき資産が整理できたら、セキュリティ対策を立案します。具体的なセキュリティ対策の例は、次のとおりです。
| セキュリティ対策の例 | |
|---|---|
| ネットワークのセキュリティ対策 | ・ファイアウォール、侵入検知システム、侵入防止システムの導入による通信データ制限 ・IDやパスワード設定、多要素認証による利用者制限 ・侵入検知システム、侵入防止システムの導入による可視化 ・診断やソフトウェアの更新、パッチ適用による脆弱性対策 |
| 機器のセキュリティ対策 | ・セキュリティソフトウェアの実装 ・持ち込み媒体のウイルスチェック ・通信先の制限 ・送受信データの暗号化 ・データのバックアップ |
| プログラムや利用サービスのセキュリティ対策 | ・導入前に、セキュリティ機能やセキュリティルールを確認 ・被害の影響に関する取り決めを確認 |
<対策3>セキュリティ対策を実行し、改善する
最後に、セキュリティ対策を実行し、PDCAを回して改善しましょう。不審な挙動やシステム異常を早期発見するために、継続して監視します。異常が発見されたとき迅速に対応できるように、体制や役割、フローを整備しておくことが大切です。実施後は、定期的に評価してセキュリティ対策や計画を見直しましょう。
また、従業員や取引先を含めた関係者に手順を周知し、教育の機会を提供します。外部のセキュリティ会社やIT担当者に任せるだけでなく、現場レベルでセキュリティに関する知識を身につけることが重要です。
セキュリティ対策の点検と改善に取り組もう
製造業は、他の業界よりもサイバー攻撃に狙われやすいので、マルウェアなどの侵入防止に向けた特段の注意が必要です。サイバー攻撃による工場停止は莫大な経済的損失や情報漏えいにつながるため、製造業にとって死活問題と言えます。どのような規模の工場であってもセキュリティリスクを他人事と考えず、今一度セキュリティ対策の点検と改善に取り組みましょう。