海外の保険関連レポートによると、製造業はサイバー攻撃による高額な金銭的被害を受ける主要なターゲットとなっています。特に、攻撃件数に占める割合は低いにもかかわらず、ランサムウェアによる被害額が突出して大きいという実態が明らかになりました。本稿では、この背景と日本の製造業が取るべき対策について解説します。
製造業を狙う、高コストなサイバー攻撃
近年の調査報告によれば、製造業はサイバー攻撃者にとって「利益の大きい」標的として認識されつつあるようです。これは、製造業が社会インフラとしての重要性を持つことに加え、事業停止が莫大な損失に直結しやすいという特性を持つためと考えられます。攻撃者は、事業継続を人質にとることで、高額な金銭を要求する傾向にあります。
件数は少なく、被害額は大きいランサムウェアの脅威
レポートの中でも特に注目すべきは、ランサムウェアに関する指摘です。製造業におけるサイバー保険の請求件数のうち、ランサムウェアが占める割合は全体の12%程度に過ぎない一方で、支払われた保険金(被害額)の大部分がランサムウェアに起因するものでした。これは、一度ランサムウェアの被害に遭うと、その影響が極めて深刻になることを示唆しています。
ランサムウェアは、企業のシステム内のデータを暗号化し、その解除と引き換えに身代金を要求する手法です。製造業において、生産管理システム(MES)や工場の制御システム(OT)が標的となった場合、生産ラインの停止という最悪の事態に陥ります。操業停止による損失、システムの復旧コスト、そして顧客への納期遅延といった影響は計り知れず、結果として一件あたりの被害額が甚大になるのです。
なぜ日本の製造現場も無関係ではないのか
この傾向は、日本の製造業にとっても決して他人事ではありません。我々の現場には、特有の脆弱性が存在します。
第一に、ITシステムに比べてOT(Operational Technology)システムのセキュリティ対策が遅れているケースが多い点です。生産設備を制御するシステムは、安定稼働を最優先するあまり、長期間にわたり同じOSやソフトウェアが使われ続け、セキュリティパッチが適用されていないことも少なくありません。「工場ネットワークはインターネットから隔離されているから安全」という認識も、保守用のPCやUSBメモリを介した侵入経路を考えると、もはや通用しないのが実情です。
第二に、サプライチェーンの複雑さです。自社のセキュリティが強固であっても、取引先の中小企業が攻撃の足がかりにされる「サプライチェーン攻撃」のリスクは常に存在します。部品供給が一つでも滞れば、自社の生産ラインも停止せざるを得ません。サプライチェーン全体でセキュリティレベルを底上げしていく視点が不可欠です。
経営課題として捉えるサイバーセキュリティ
サイバー攻撃、特にランサムウェアによる被害は、もはや情報システム部門だけの問題ではなく、事業継続そのものを揺るがす経営課題です。被害を未然に防ぐための技術的な投資はもちろんのこと、万が一インシデントが発生した際の対応計画(事業継続計画:BCP)を策定し、定期的な訓練を行うことが求められます。自社の状況を客観的に評価し、どこにリスクが潜んでいるのかを洗い出すことから始める必要があります。
日本の製造業への示唆
今回の報告から、我々日本の製造業関係者が得るべき示唆を以下に整理します。
1. OTセキュリティの再点検と強化
工場の生産ラインを制御するOTシステムは、事業の根幹です。外部ネットワークとの接続状況、アクセス管理、古いシステムの脆弱性などを改めて点検し、IT部門と製造部門が連携して対策を講じることが急務です。物理的な隔離だけでなく、論理的な防御策も必要となります。
2. サプライチェーン全体でのリスク管理
自社だけでなく、主要な取引先のセキュリティ対策状況にも目を向ける必要があります。セキュリティに関するアンケート調査や、契約時の要件にセキュリティ項目を盛り込むなど、サプライチェーン全体でリスク低減に取り組む姿勢が重要です。
3. インシデント発生を前提とした対応計画の準備
「100%の防御は不可能」という前提に立ち、万が一システムが停止した場合の復旧手順、代替生産の可能性、顧客への連絡体制などを具体的に定めたBCPを策定・更新しておくべきです。経営層から現場までが参加する実践的な訓練も有効です。
4. 経営層のリーダーシップ
サイバーセキュリティ対策は、コストではなく、事業継続のための重要な「投資」です。経営層がその重要性を深く理解し、リーダーシップを発揮して全社的な取り組みを推進することが、自社の競争力と信頼性を守る上で不可欠と言えるでしょう。
コメント