製造業を標的としたサイバー攻撃が、質・量ともに深刻化しています。工場のスマート化が進む現代において、従来のIT部門任せの対策は限界を迎えつつあり、生産現場やサプライチェーン全体を巻き込んだ「連携」による防御体制の構築が急務となっています。
製造業がサイバー攻撃の主要な標的へ
近年、製造業がサイバー攻撃の主要な標的の一つになっているという指摘が、セキュリティ専門家の間で共通認識となっています。その背景には、製造業が保有する設計データや技術情報といった知的財産の価値の高さに加え、生産ラインを停止させることによる事業への影響の甚大さがあります。特に、ランサムウェア攻撃によって工場の操業が停止し、サプライチェーン全体に混乱が波及した事例は、記憶に新しいところです。
攻撃者は、セキュリティ対策が強固な大企業を直接狙うだけでなく、比較的対策が手薄になりがちな国内外の取引先や子会社を踏み台にすることもあります。サプライチェーンが複雑に絡み合う日本の製造業にとって、これは決して対岸の火事ではありません。
工場のスマート化がもたらす新たなリスク:ITとOTの融合
生産性向上や品質安定化を目指すスマートファクトリー化、いわゆるDX(デジタルトランスフォーメーション)の推進は、製造業にとって重要な経営課題です。しかし、工場の設備や制御システム(OT: Operational Technology)が、社内ネットワークやインターネット(IT: Information Technology)に接続されることで、これまで想定されていなかった新たなセキュリティリスクが生まれています。
従来、工場の生産ラインは外部ネットワークから隔離された閉鎖的な環境で稼働していたため、サイバー攻撃の直接的な脅威に晒されることは少ないと考えられてきました。しかし、ITとOTの融合により、この境界が曖昧になっています。オフィスのPCが一台ウイルスに感染した結果、その影響が生産ラインのPLC(Programmable Logic Controller)にまで及び、工場の稼働が停止してしまう、といったシナリオも現実的な脅威となっているのです。
脅威に対抗する鍵は「連携(コラボレーション)」
こうした複合的で巧妙な脅威に対しては、単独の部門や一企業の努力だけでは対応が困難です。元記事が指摘するように、今まさに求められているのが、組織内外における「連携(コラボレーション)」です。
まず重要となるのが、社内におけるIT部門とOT部門(生産技術、製造、品質管理など)の連携です。情報システムの保護を最優先するIT部門と、工場の安定稼働を最優先するOT部門とでは、文化や価値観、使用する用語さえも異なることが少なくありません。この壁を乗り越え、経営層のリーダーシップのもと、互いの領域を尊重しながら共通のリスク認識を持ち、一体となって対策を進める体制づくりが不可欠です。
次に、サプライチェーン全体での連携です。自社のセキュリティをどれだけ固めても、部品や原材料を供給する取引先のセキュリティが脆弱であれば、そこが攻撃の侵入口となり得ます。自社のセキュリティ基準を取引先にも共有し、必要に応じて支援を行うなど、サプライチェーン全体でセキュリティレベルを底上げしていく視点が求められます。
日本の製造業への示唆
今回のテーマから、日本の製造業が実務上考慮すべき点を以下に整理します。
1. セキュリティを「経営課題」として位置づける
サイバーセキュリティは、もはやIT部門だけの問題ではありません。事業継続計画(BCP)の中核と捉え、経営層が主導して全社的な課題として取り組む必要があります。対策はコストではなく、未来の事業を守るための投資であるという認識が重要です。
2. OTセキュリティの特性を理解する
工場の設備は、ITシステムのように頻繁に停止してパッチを適用することが難しいなど、特有の制約があります。OT環境の安定稼働を最優先事項としながら、どのようなセキュリティ対策が適用可能か、生産技術者とIT担当者が知恵を出し合う必要があります。安易なITセキュリティの論理の持ち込みは、現場の混乱を招きかねません。
3. サプライチェーン全体でのリスク評価と対策
主要な取引先に対して、セキュリティ対策に関するアンケート調査やヒアリングを実施し、サプライチェーンにおけるリスクの可視化から始めることが有効です。その上で、取引基本契約にセキュリティに関する条項を盛り込む、定期的な情報交換会を開催するなど、具体的な連携策を検討することが望まれます。
4. インシデント発生を前提とした準備
「100%の防御は不可能」という前提に立ち、万が一インシデントが発生した際に、どの部署が、誰に連絡し、どのように対応するのかを定めた対応計画(インシデントレスポンスプラン)を策定し、定期的に訓練しておくことが、被害を最小限に抑える上で極めて重要です。
コメント