医薬品関連大手のWest Pharmaceutical社と、電子機器受託製造(EMS)世界最大手のFoxconn社が相次いでランサムウェア攻撃を受け、工場の操業に深刻な影響が出ました。これらの事例は、サイバー攻撃が単なる情報漏洩に留まらず、製造現場の物理的な活動を停止させる直接的な脅威であることを示しています。本稿では、これらの事例を基に、日本の製造業が直面するリスクと取るべき対策について考察します。
はじめに:サイバー攻撃は「工場の操業」を直接脅かす経営課題に
サイバー攻撃というと、多くの方は顧客情報の漏洩やウェブサイトの改ざんといった、情報システム(IT)領域の問題を想像されるかもしれません。しかし近年、製造業の工場で稼働する生産設備や制御システム(OT: Operational Technology)を標的とした攻撃が急増しており、その脅威はより深刻なものとなっています。生産ラインが停止すれば、その日の売上は失われ、納期遅延による信用の失墜、さらにはサプライチェーン全体への多大な影響に繋がりかねません。まさに、事業継続そのものを揺るがす経営課題と言えるでしょう。
事例1:West Pharmaceutical社 – 医薬品サプライチェーンの寸断
医薬品の包装やドラッグデリバリーシステムで世界的なシェアを持つWest Pharmaceutical社は、ランサムウェア攻撃によりサイバーセキュリティインシデントが発生したことを公表しました。この攻撃の影響で、同社はシステムの一部をネットワークから切り離す措置を講じましたが、その結果、複数のグローバル拠点において製造、出荷、受け入れといった基幹業務に支障が生じたと報告されています。品質管理やトレーサビリティが極めて厳格に求められる医薬品業界において、生産・物流機能が停止することのインパクトは計り知れません。この事例は、高度に管理されたサプライチェーンがいかにサイバー攻撃に対して脆弱であるかを示しています。
事例2:Foxconn社 – 世界的EMS企業の生産への影響
Apple社のiPhone製造パートナーとして知られる台湾の鴻海精密工業(Foxconn)のメキシコ工場も、ランサムウェア攻撃の被害に遭いました。攻撃者は機密情報を窃取したと主張し、身代金を要求しました。Foxconnのような世界最大級のEMS企業の一拠点が機能不全に陥ることは、その顧客である数多くのグローバル企業にとって、製品の供給遅延という直接的な打撃となります。これは、自社のセキュリティ対策が万全であっても、サプライチェーン上の重要なパートナー企業が攻撃されることで、自社の事業が甚大な影響を受けるリスクがあることを物語っています。
なぜ製造業の工場が狙われるのか
製造業、特に工場がサイバー攻撃の標的となりやすい背景には、いくつかの理由が考えられます。
一つ目は、工場内で稼働するOTシステムの存在です。生産設備を制御するPLC(プログラマブルロジックコントローラ)やSCADA(監視制御システム)などは、長期間にわたり安定稼働を優先するあまり、OSが古かったりセキュリティパッチが適用されていなかったりするケースが散見されます。近年、工場のDX推進に伴いITネットワークとの接続が進んだことで、これらの脆弱なOTシステムが外部からの侵入経路となるリスクが高まっています。
二つ目は、事業継続への影響の大きさです。工場の生産ラインが停止することは、企業にとって直接的な減収を意味します。攻撃者は、企業が事業停止による損失を回避するために、身代金の支払いに応じやすいだろうと見越して、意図的に工場を狙う傾向があります。
三つ目は、サプライチェーンにおける重要性です。特定の部品や素材を独占的に供給している工場を攻撃すれば、その影響は川下の多くの企業へと波及します。攻撃者にとって、影響を最大化できる「効率の良い」標的と見なされているのです。
日本の製造業への示唆
これらの海外事例は、日本の製造業にとっても決して対岸の火事ではありません。我々が学ぶべき実務的な示唆を以下に整理します。
1. ITとOTの垣根を越えた統合的なセキュリティ体制の構築
「工場ネットワークは外部と繋がっていないから安全」という考え方は、もはや通用しません。情報システム部門と、生産技術や工場管理といった現場部門が密に連携し、工場全体のネットワーク構成や脆弱性を把握し、IT・OT双方の領域をカバーする包括的なセキュリティ対策を講じる必要があります。
2. サプライチェーン全体を視野に入れたリスク管理
自社のセキュリティ強化はもちろんのこと、重要な部品や原材料を供給するサプライヤーや、生産を委託している協力工場のセキュリティ体制にも目を向ける必要があります。取引先の選定基準にセキュリティ項目を加えたり、定期的な監査を実施したりするなど、サプライチェーン全体でのリスク低減を図ることが重要です。
3. 「攻撃されること」を前提とした事業継続計画(BCP)の見直し
100%の防御は不可能という前提に立ち、万が一サイバー攻撃によってシステムが停止した場合の対応計画を具体的に定めておくことが不可欠です。重要な生産データのバックアップと、そのデータを使って迅速に復旧する手順の確立、ネットワークが使えない状況下での代替生産・出荷プロセスの検討、インシデント発生時の社内外への連絡体制の整備など、BCPにサイバー攻撃のシナリオを明確に組み込むべきです。
4. 経営層のリーダーシップと全従業員への教育
セキュリティ対策は、単なるコストではなく、事業を継続するための重要な投資です。経営層がその重要性を深く理解し、リーダーシップを発揮して必要なリソースを投下することが求められます。同時に、不審なメールやUSBメモリの取り扱いなど、現場で働く一人ひとりの従業員のセキュリティ意識を高めるための継続的な教育と訓練も欠かせません。
コメント