近年、製造業を標的としたランサムウェア攻撃が世界的に急増し、深刻な問題となっています。攻撃者は、製造業が持つ「操業を止められない」という弱点を巧みに突き、事業継続そのものを脅かしています。本稿では、この脅威の実態と、日本の製造業が取るべき実務的な対策について解説します。
なぜ製造業が標的とされるのか
サイバー攻撃者が製造業を格好の標的と見なす理由は、その事業構造に深く関係しています。製造業、特に工場は、一度操業が停止すると甚大な金銭的損失とサプライチェーンへの影響が発生します。24時間稼働のラインが数時間停止するだけで、その被害は数百万、数千万円に及ぶことも珍しくありません。攻撃者はこの「事業停止への耐性の低さ」を熟知しており、身代金の支払いに応じやすいだろうと判断するのです。
また、製造業の現場では、IT(情報技術)システムに比べてOT(制御技術)システムのセキュリティ対策が遅れている傾向があります。工場の生産設備を制御するネットワークや機器は、長期間安定稼働を続けているものが多く、OSが古いままであったり、セキュリティパッチが適用されていなかったりするケースが散見されます。日本の製造現場では、長年使い込んだ設備を大切に保守しながら使う文化がありますが、それが結果としてセキュリティ上の脆弱性を生み出している側面も否定できません。IT部門と製造部門の連携が不十分で、工場全体のセキュリティガバナンスが行き届いていないことも、攻撃者にとっては侵入しやすい環境と言えるでしょう。
攻撃の手口と被害の実態
ランサムウェア攻撃は、単にコンピュータのファイルを暗号化して使えなくするだけではありません。近年の手口はより巧妙化・悪質化しています。攻撃者はまずネットワークに侵入し、数週間から数ヶ月にわたって潜伏します。その間に、設計図、技術情報、顧客リストといった機密データを窃取し、その後、満を持してシステムを暗号化します。そして、「身代金を支払わなければ、システムを復旧させない」という脅迫に加え、「盗んだ機密情報を公開する」という二重の脅迫(ダブルエクストーション)を行うのが主流となっています。
一度被害に遭うと、その影響は計り知れません。生産ラインは停止し、製品の出荷は遅延します。サプライチェーン全体に混乱が波及し、顧客や取引先からの信用も失墜します。仮に身代金を支払ったとしても、データが完全に復旧する保証はなく、また、攻撃者が再び侵入しないという保証もありません。システムの復旧作業や調査にかかるコスト、そして失われた機会損失を含めると、被害額は莫大なものになります。これは、もはや対岸の火事ではなく、自社の工場でいつでも起こりうる現実的なリスクです。
求められる実務的な対策
こうした脅威に対して、製造業はどのような対策を講じるべきでしょうか。技術的な対策と組織的な対策の両面から、実務的なアプローチが求められます。
技術的な観点では、まず基本となるのがITネットワークと工場で使われるOTネットワークの適切な分離です。万が一、どちらかが侵入されても、もう一方への影響を最小限に食い止めるための重要な対策です。また、システムやソフトウェアの脆弱性を放置しないよう、定期的なパッチ適用が不可欠です。古い設備で更新が難しい場合は、ネットワークのアクセス制御を強化するなどの代替策を検討する必要があります。そして何より重要なのが、データのバックアップです。特に、ネットワークから切り離されたオフライン環境にバックアップを保管しておくことで、システムが暗号化された際の最後の砦となります。
組織的な観点では、まず「インシデントは起こりうる」という前提に立つことが出発点です。その上で、万が一攻撃を受けた際の対応計画を事前に策定し、定期的に訓練を行うことが重要です。誰が指揮を執り、どの部門がどう動くのかを明確にしておくことで、有事の際の混乱を抑えることができます。また、IT部門と製造部門が密に連携し、工場全体のセキュリティレベルを維持・向上させる体制づくりも欠かせません。従業員一人ひとりが不審なメールやWebサイトに注意を払うといった、基本的なセキュリティ意識の向上も地道ながら効果的な対策です。
日本の製造業への示唆
今回のテーマから、日本の製造業関係者が特に留意すべき点を以下にまとめます。
1. 経営課題としてのセキュリティ認識
サイバーセキュリティは、もはやIT部門だけの専門的な問題ではありません。工場の操業停止、ひいては事業継続そのものを揺るがす経営課題であると、経営層が強く認識することが全ての始まりです。対策はコストではなく、未来への投資と捉える視点が求められます。
2. ITとOTの垣根を越えた連携
本社のIT部門と工場の製造・保全部門との間には、文化や知識の壁が存在することが少なくありません。この壁を取り払い、全社的なセキュリティガバナンス体制を構築することが急務です。互いの領域を尊重しつつ、共通の目的のために協力する体制が不可欠です。
3. 現実的なリスク評価と優先順位付け
全ての設備に最新・最高のセキュリティ対策を施すことは、現実的ではないかもしれません。自社のどの部分が最も脆弱で、攻撃された場合の影響が最も大きいのかを冷静に評価し、限られたリソースをどこに集中させるべきか、優先順位を付けて対策を進めることが肝要です。
4. 「防御」から「復旧(レジリエンス)」への意識転換
100%の防御が不可能な現代において、重要なのは侵入されることを前提とした上で、いかに早く攻撃を検知し、被害を最小限に抑え、迅速に事業を復旧させるかという「サイバーレジリエンス」の考え方です。インシデント対応計画の策定と実践的な訓練を平時から行うことが、本当の意味での備えとなるでしょう。
コメント