シンガポールを拠点とするサイバーセキュリティ企業が、韓国の製造業を主要ターゲットとして市場参入を発表しました。この動きは、製造業、特にその複雑なサプライチェーンがサイバー攻撃の格好の標的となっている現実を浮き彫りにしています。本稿ではこのニュースを基に、日本の製造業が直面するリスクと取るべき対策について考察します。
韓国市場で高まる製造業へのセキュリティ需要
先日、シンガポールに本社を置くサイバーセキュリティ企業Group-IBが、韓国市場への本格参入を発表しました。特に注目すべきは、その主要なターゲットとして金融分野と並び「製造業」を明確に挙げている点です。これは、グローバルなセキュリティ専門企業の視点から見ても、韓国の製造業が高度なサイバー攻撃の脅威に晒されており、対策が急務であると認識されていることを示唆しています。
韓国は日本と同様、世界市場で高い競争力を持つ製造業を国の基幹産業としています。半導体や自動車、電機といった分野では、国境を越えた複雑なサプライチェーンが構築されています。攻撃者にとって、こうしたサプライチェーンの繋がりは、セキュリティ対策が比較的脆弱な取引先を踏み台にして、最終的な標的である大手企業へ侵入するための格好の経路となります。今回の動きは、こうしたサプライチェーン全体のリスクが顕在化していることの裏返しと捉えることができるでしょう。
他人事ではない、日本の工場が直面する脅威
このニュースは韓国市場のものですが、日本の製造業関係者にとっても決して対岸の火事ではありません。日本の製造業もまた、系列企業や協力会社との緊密な連携の上に成り立っており、サプライチェーンの構造は韓国と類似する点が多くあります。近年、大手製造業へのサイバー攻撃の多くが、国内外の取引先を経由していることは、既に多くの報告で指摘されている通りです。
特に近年、スマートファクトリー化やDXの推進により、これまで閉じたネットワークで運用されてきた工場の生産設備(OT: Operational Technology)が、社内の情報システム(IT: Information Technology)網や外部インターネットと接続される機会が増えています。これにより生産性は飛躍的に向上する一方、これまで想定されてこなかったサイバーリスクに工場が直接晒されることになりました。生産ラインを停止させることを目的としたランサムウェア攻撃など、事業継続そのものを脅かすインシデントは、もはや現実的な脅威として認識する必要があります。
求められる「攻撃者視点」での防御とインシデント対応
Group-IBのような企業が強みとするのは、単に防御壁を高くするだけでなく、「脅威インテリジェンス」と呼ばれる攻撃者の手法や動向に関する情報を活用し、プロアクティブ(主体的)な防御を行う点にあります。つまり、どのような攻撃が自社に向けられる可能性があるかを予測し、先手を打って対策を講じるという考え方です。
従来の「侵入させない」という境界防御の考え方に加え、万が一侵入された場合に「いかに迅速に検知し、被害を最小限に抑え、復旧するか」というインシデント対応能力の重要性が増しています。工場運営においては、生産停止時間をいかに短縮するかが至上命題です。サイバー攻撃による停止も、設備故障による停止も、経営に与えるインパクトは同じです。セキュリティ対策を単なるコストとしてではなく、事業継続計画(BCP)の一環として捉え、経営層と現場が一体となって取り組むべき喫緊の課題と言えるでしょう。
日本の製造業への示唆
今回の韓国市場の動向から、日本の製造業が学ぶべき点は多岐にわたります。以下に実務的な示唆を整理します。
1. サプライチェーン全体でのセキュリティレベル向上:
自社の対策はもちろんのこと、主要な取引先や協力会社のセキュリティ状況を把握し、必要に応じて支援や啓発を行うことが不可欠です。特にセキュリティ人材や予算が限られる中小企業を含めた、サプライチェーン全体での底上げが求められます。
2. OTセキュリティの本格的な検討:
工場のスマート化を進める生産技術部門と、社内のITインフラを管理する情報システム部門との連携をこれまで以上に密にする必要があります。OT領域に特有のリスクを洗い出し、生産への影響を最小限にするための具体的な対策(資産管理、脆弱性管理、異常検知など)を策定・実行することが重要です。
3. 「侵入されること」を前提とした体制構築:
完璧な防御は存在しないという前提に立ち、サイバー攻撃を受けた際の報告・連絡体制、原因調査(フォレンジック)、復旧手順などを定めたインシデント対応計画を準備し、定期的な訓練を行うことが望まれます。これにより、万一の事態においても冷静かつ迅速な対応が可能となります。
4. 経営層のリーダーシップ:
サイバーセキュリティは、もはや情報システム部門だけの問題ではありません。事業継続を左右する経営課題であるとの認識のもと、経営層がリーダーシップを発揮し、必要な投資と人材育成を推進していくことが、企業の競争力を維持・向上させる上で不可欠な要素となっています。
コメント