米国の医療機器大手ストライカー社がサイバー攻撃を受け、受注や製造といった基幹業務に支障が出たと報じられました。この一件は、製造業にとってサイバーセキュリティが単なる情報管理の問題ではなく、工場の操業そのものを揺るがす事業継続上の重要課題であることを明確に示しています。
医療機器大手を襲ったサイバー攻撃の概要
報道によれば、医療機器メーカーのストライカー社は、同社のコンピューターシステムがサイバー攻撃の被害に遭ったことを公表しました。この影響はITシステムにとどまらず、受注活動や製造業務にまで広範囲に及んだとされています。具体的な攻撃手法や被害の全容は明らかにされていませんが、グローバルに事業を展開する大手メーカーの基幹業務が、サイバー攻撃によって直接的な打撃を受けたという事実は、我々日本の製造業関係者にとっても看過できない事態です。
ITからOTへ広がるセキュリティリスク
これまで製造業におけるサイバーセキュリティは、主に設計図面や顧客情報といった情報資産の漏洩防止、すなわちIT(情報技術)領域の課題として捉えられがちでした。しかし、今回のストライカー社の事例は、攻撃がOT(制御・運用技術)領域、つまり工場の生産ラインや設備制御システムにまで影響を及ぼし、物理的な生産活動を停止させ得ることを如実に物語っています。工場のスマート化やDX推進に伴い、生産設備や管理システムがネットワークに接続される機会は飛躍的に増加しました。この利便性の裏側で、従来は閉じられた安全な環境とされてきた製造現場が、外部からの攻撃の脅威に晒されるようになったのです。
生産現場における具体的な脅威とは
日本の工場においても、生産管理システム(MES)、各種センサー、PLC(プログラマブルロジックコントローラ)などがネットワーク化されています。これらのシステムがランサムウェアなどの攻撃を受け、暗号化されたり、不正に操作されたりすれば、生産計画の遂行は不可能となり、ラインは即座に停止せざるを得ません。また、サプライヤーとの受発注システムがダウンすれば、部品調達が滞り、サプライチェーン全体が寸断される恐れもあります。サイバー攻撃は、もはや遠い世界の話ではなく、自社の工場の安定操業を脅かす、現実的かつ深刻なリスクとして認識する必要があります。
求められる全社的な対策と備え
こうした脅威に対抗するためには、技術的な防御策はもちろんのこと、組織的な備えが不可欠です。IT部門だけでなく、工場長や生産技術、品質管理といった製造現場の担当者が一体となり、自社のどこにリスクが潜んでいるのかを洗い出す必要があります。そして、万が一インシデントが発生した場合に、誰が、何を、どのような手順で対応するのかを定めたインシデント・レスポンス計画を策定し、定期的に訓練しておくことが、被害を最小限に食い止める上で極めて重要となります。セキュリティ対策はコストではなく、事業継続のための重要な投資であるという経営層の理解とリーダーシップが、今まさに問われていると言えるでしょう。
日本の製造業への示唆
今回のストライカー社の事例から、我々日本の製造業が学ぶべき点は多岐にわたります。以下にその要点を整理します。
1. サイバーリスクは「事業継続リスク」であると認識する
情報漏洩だけでなく、生産停止やサプライチェーンの混乱といった物理的な操業停止に直結する脅威として、経営課題の中心に据える必要があります。
2. IT部門と製造現場の連携を強化する
セキュリティ対策はIT部門任せにせず、工場の実態を熟知する製造部門が主体的に関与し、全社横断で取り組むべき課題です。ITとOT、双方の知見を融合させた対策が求められます。
3. 「攻撃されること」を前提とした備えを構築する
完璧な防御は存在しないという前提に立ち、侵入後の被害を最小化するための検知・対応・復旧の体制(インシデント・レスポンス計画)を具体的に整備し、訓練を重ねることが不可欠です。
4. サプライチェーン全体での対策を視野に入れる
自社のセキュリティを強化するだけでなく、取引先や協力会社を含めたサプライチェーン全体のセキュリティレベルを把握し、連携してリスク低減を図る視点が重要になります。
コメント