昨今、製造業のデジタルトランスフォーメーション(DX)が加速する一方で、セキュリティ対策が追いついていない実態が浮き彫りになっています。海外の調査レポートによると、製造業の4社に1社がコンプライアンス違反を、5社に1社がセキュリティインシデントを経験しており、その根源には複雑化したシステムへの「アクセス管理」の課題が潜んでいます。
デジタルトランスフォーメーションがもたらす新たな課題
Pathlock社が発表した最新のレポートは、製造業におけるサイバーセキュリティの現状に警鐘を鳴らしています。調査対象となった製造業のうち、4社に1社(25%)がコンプライアンス違反を、5社に1社(20%)が何らかのセキュリティインシデントを経験したと報告されています。多くの企業がスマートファクトリー化やサプライチェーンのデジタル化といったDX施策に注力していますが、その裏側で、システムの脆弱性を管理するガバナンス体制の構築が後手に回っている状況がうかがえます。
特に、企業の基幹システム(ERP)から製造実行システム(MES)、さらには工場の制御システム(OT/SCADA)に至るまで、様々なシステムが相互に連携するようになった結果、攻撃者が侵入する経路(アタックサーフェス)は格段に拡大しました。生産性向上を目的としたシステム連携が、皮肉にも新たなセキュリティリスクを生み出しているのです。
「アクセス管理の遅れ」が深刻な脆弱性に
レポートが指摘する問題の核心は、「アクセス管理」がDXのスピードに追いついていない点にあります。かつての工場は、閉じたネットワークの中で比較的安全が保たれていました。しかし、ITとOTの融合が進んだ現在、誰が、どの情報やシステムに、どこまでアクセスできるのかを厳密に管理することが極めて重要になっています。
日本の製造現場でも、心当たりのある方は少なくないのではないでしょうか。例えば、以下のような状況は典型的なリスク要因です。
- 退職者や異動した従業員のアカウントが削除されずに残っている。
- 業務の都合上、一時的に付与した管理者権限がそのままになっている。
- 複数の担当者で共有アカウントを使い回している。
- ERPやMESなど、システムごとに権限設定の基準が異なり、全体像を把握できていない。
こうした管理の隙は、内部不正の温床となるだけでなく、外部からのサイバー攻撃の足がかりを与えてしまいます。ひとたび生産ラインに関わるシステムに侵入されれば、生産停止や品質データの改ざんといった、事業継続を揺るがす深刻な事態に発展しかねません。
求められるガバナンスと全社的な取り組み
この問題は、単に情報システム部門だけの課題ではありません。むしろ、現場の業務プロセスを深く理解する生産技術、製造、品質保証といった部門が主体的に関わるべきテーマです。自部門の業務において、誰が本当にそのデータへのアクセスを必要としているのかを定義し、最小権限の原則(Principle of Least Privilege)を徹底していく必要があります。
これは、技術的な対策の導入と同時に、従業員の役割と責任に基づくアクセス権限のルールを定め、それを継続的に監査・見直しを行う「アイデンティティ・ガバナンス」の体制を構築することを意味します。DXを推進する経営層や工場長は、生産性向上という「アクセル」と、セキュリティガバナンスという「ブレーキ」を両輪で機能させることの重要性を認識する必要があるでしょう。
日本の製造業への示唆
今回のレポートから、我々日本の製造業が学ぶべき点は多岐にわたります。以下に、実務に活かすべき要点を整理します。
1. DXとセキュリティは一体で推進する意識改革
生産性向上や効率化のための投資と、セキュリティ対策はトレードオフの関係ではありません。むしろ、事業継続性を担保するための基盤として、DXの構想段階からセキュリティ設計を組み込むことが不可欠です。経営層は、セキュリティをコストではなく、事業を守るための投資と捉える視点が求められます。
2. 定期的なアクセス権限の棚卸しの実施
まずは、自社の重要なシステム(ERP、MES、品質管理システムなど)における現在のアクセス権限の実態を把握することから始めるべきです。人事情報と連携し、入退社や異動に伴う権限の付与・削除が適切に行われているか、定期的に監査するプロセスを確立することが急務です。
3. 現場を巻き込んだ全社的な体制構築
アクセス管理のルール作りは、IT部門だけでは完結しません。各業務を熟知した現場のリーダーや技術者が、「誰に、どの権限が必要か」を定義するプロセスに積極的に関与することが、実効性のある管理体制の鍵となります。部門横断のタスクフォースを設置し、継続的に議論する場を設けることも有効な手段です。
コメント