大手医療機器メーカーがサイバー攻撃で生産停止。製造業の事業継続を脅かす新たなリスク

大手医療機器メーカーのストライカー社がサイバー攻撃を受け、受注および製造業務に支障が出ていることを公表しました。この一件は、スマートファクトリー化が進む日本の製造業にとっても、事業継続計画（BCP）におけるサイバーリスクの重要性を改めて問いかけるものです。

サイバー攻撃が生産ラインを止める現実
ITとOTの境界線が曖昧になることの脆弱性
問われる経営層のリーダーシップと現場の備え
日本の製造業への示唆

サイバー攻撃が生産ラインを止める現実

米国の医療機器大手ストライカー（Stryker）社は、サイバー攻撃を受けた翌日に、同社の受注システムや製造業務に混乱が生じていることを公表しました。具体的な攻撃の内容や被害の範囲については詳述されていませんが、グローバルに事業を展開する大手メーカーの基幹業務が、サイバー攻撃によって直接的な影響を受けたという事実は、非常に重く受け止めるべきでしょう。

これまで製造業における事業継続リスクといえば、地震や洪水といった自然災害、あるいは大規模な設備故障などが主に想定されてきました。しかし、工場のデジタル化、いわゆるスマートファクトリーやDXの進展に伴い、サイバー攻撃は生産ラインを直接停止させうる、新たな経営リスクとして顕在化しています。日本国内でも、過去に大手自動車メーカーのサプライヤーがランサムウェア攻撃を受け、結果としてメーカーの国内全工場の稼働が停止するという事態が発生したことは記憶に新しいところです。

ITとOTの境界線が曖昧になることの脆弱性

なぜ、製造現場がサイバー攻撃の標的となるのでしょうか。その背景には、従来は独立していたIT（情報技術）ネットワークとOT（制御技術）ネットワークの融合があります。生産管理システムやMES（製造実行システム）が、インターネットに接続された社内ネットワーク（IT）と、工場の生産設備を制御するネットワーク（OT）とを連携させることで、生産性は飛躍的に向上しました。しかしその反面、外部からの侵入口が生産ラインの心臓部にまで及ぶリスクを生み出しています。

攻撃者は、オフィス側のITネットワークへの侵入を足掛かりに、工場内のOTネットワークへと侵入し、生産設備を停止させたり、誤作動させたりします。あるいは、生産計画や品質データ、製品の設計図といった機密情報を窃取し、身代金を要求することもあります。ひとたび生産が停止すれば、その影響は自社に留まらず、部品を供給するサプライヤーから製品を待つ顧客まで、サプライチェーン全体に甚大な被害を及ぼすことになります。

問われる経営層のリーダーシップと現場の備え

今回のストライカー社の事例では、受注システムと製造システムが同時に影響を受けた可能性が示唆されています。これは、販売機会の喪失と生産停止による納期遅延という、事業の根幹を揺るがす二重の打撃を意味します。復旧までのリードタイム、顧客への影響、そしてブランドイメージの毀損を考えれば、その損失は計り知れません。

このような事態を防ぐためには、もはやサイバーセキュリティを情報システム部門だけの課題として捉えることはできません。経営層が主導し、事業継続の観点から全社的な対策を講じる必要があります。具体的には、ITとOT両方の領域をカバーするセキュリティポリシーの策定、脆弱性診断の定期的な実施、そして万が一攻撃を受けた際の対応手順を定めたインシデントレスポンス計画の準備が不可欠です。計画を策定するだけでなく、工場長や現場リーダーを巻き込んだ実践的な訓練を繰り返し行うことで、有事の際の混乱を最小限に抑えることができます。

日本の製造業への示唆

今回の事例は、日本の製造業にとっても決して他人事ではありません。我々が学ぶべき実務的な示唆を以下に整理します。

1. OTセキュリティ対策の具体化
工場のネットワークを外部の脅威から守るための対策は急務です。IT部門と製造・生産技術部門が連携し、工場内のネットワーク構成や接続されている機器を正確に把握した上で、適切なアクセス制御や監視体制を構築する必要があります。旧式の設備がネットワークに接続されているケースも多く、こうした脆弱性の洗い出しと対策が求められます。

2. サプライチェーン全体でのリスク認識の共有
自社のセキュリティを固めるだけでは不十分です。サプライヤーのセキュリティ体制が脆弱であれば、そこが起点となって自社が被害を受ける可能性があります。取引先に対してもセキュリティ対策を要請したり、共同で監査を行ったりするなど、サプライチェーン全体でセキュリティレベルを引き上げる取り組みが重要になります。

3. サイバー攻撃を前提としたBCPの見直し
自然災害と同様に、サイバー攻撃による生産停止を事業継続計画（BCP）のシナリオとして明確に位置づけるべきです。生産ラインが停止した場合の代替生産の手段、顧客や取引先への連絡体制、復旧作業の優先順位などを具体的に定めておくことが、迅速な事業復旧の鍵となります。

4. 経営マターとしての取り組み
サイバーセキュリティは、コストではなく、事業を継続するための「投資」です。経営層がその重要性を深く認識し、必要な予算と人材を確保し、全社的な取り組みを主導することが、これからの製造業経営において不可欠な要素となるでしょう。