【製造業DX】ものづくりのサイバーセキュリティリスクとあるべき対策
(画像=ImagingL/stock.adobe.com)

製造業がDXを推進する上で、サイバーセキュリティ対策は欠かせません。現在ではIT技術を取り入れ、製造業界も生産性向上などの効果を得ています。しかし、IT化により利便性が高くなる一方、セキュリティリスクも高まっています。製造業は業界全体でセキュリティ面が弱い傾向にある中、昨今は製造業をターゲットとするサイバー攻撃が増加しています。自社だけでなく取引先や顧客の貴重な情報資産を守るためにも、サイバーセキュリティ対策は必須といえるでしょう。

本コラムでは、製造業におけるサイバーセキュリティ対策について解説します。デジタル技術の導入を積極的に進めている製造業の方は、ぜひ参考にしてください。

目次

  1. 製造業におけるサイバーセキュリティ対策の3要素
  2. 製造業が狙われているサイバーセキュリティリスクの現状
  3. 製造業DXとサイバーセキュリティの関係|なぜ製造業が狙われるのか
  4. 製造業が抱える4つのサイバーセキュリティリスク
  5. 製造業に求められる5つのサイバーセキュリティ対策とは
  6. 製造業のセキュリティ対策で重要なポイント
  7. まとめ|サイバーセキュリティ対策が製造業DXの土台となる

製造業におけるサイバーセキュリティ対策の3要素

はじめに、サイバーセキュリティ対策とは、サイバー攻撃によって大切な情報が外部に流出したり、データが破壊されたり、使用中のシステムやサービスが急に使えなくなったりしないよう、適切な対策を施すことを指します。製造業においても、サイバーセキュリティ対策で重視されるのは、次の3点を確保することをまずおさえておきましょう。

  • 機密性(Confidentiality)
    ある情報へのアクセスを認められた者だけがアクセスできる状態

  • 完全性(Integrity)
    情報が破壊、改ざん、消去されていない状態

  • 可用性(Availability)
    情報へのアクセスを認められた者が、必要時に中断することなく情報にアクセスできる状態

製造業が狙われているサイバーセキュリティリスクの現状

自社のセキュリティ体制を見直すためにも、製造業におけるサイバーセキュリティの状況を押さえておきましょう。ここでは、製造業を狙ったサイバー攻撃の近年の状況を紹介します。

国内製造業関連企業の6割以上がサイバーセキュリティ上の事故を経験

セキュリティ企業のトレンドマイクロが実施した「スマートファクトリーにおけるセキュリティの実態調査」によると、日本国内の製造業の6割以上がサイバーセキュリティ上の事故を経験しています。また、事故を経験したうちの約8割が生産を停止する事態に至っています。また、4日以上生産停止した回答者は4割以上にもなりました。

サイバーセキュリティリスクの現状

昨今、製造業を狙ったサイバー攻撃が目立っています。たとえば、2020年には日本の大手電機メーカーである三菱電機とNECの2社がサイバー攻撃の被害を受け、情報が流出したことを公表しました。また、2022年にはトヨタ自動車の主要サプライヤーの1社がサイバー攻撃の被害を受けたことで、自動車の生産が一時停止する事態となりました。これらの事件はメディアでも大きく取り上げられ、サイバー攻撃の脅威を改めて知らしめたといえます。

IBMのセキュリティ研究機関であるX-Forceが発表した「X-Force脅威インテリジェンス・インデックス2022」によると、2021年に最もサイバー攻撃の対象となった業界は製造業であり、X-Forceが修復した攻撃の23.2%を占めているといいます。長年トップであった金融・保険業界を初めて超えた形となっており、製造業を狙ったサイバー攻撃が増加傾向にあることは間違いありません。製造業全体で、サイバーセキュリティ対策が求められているといえます。

独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2022」の組織編によると、1位の「ランサムウェアによる攻撃」と、2位の「標的型攻撃による機密情報の窃取」はいずれも製造業を標的にした手法による攻撃です。同様に製造業に関した内容では、「サプライチェーンの弱点を悪用した攻撃」が第3位にランクインしています。

【表1】IPAによる情報セキュリティ10大脅威 2022(組織編)

1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 サプライチェーンの弱点を悪用した攻撃
4位 テレワーク等のニューノーマルな働き方を狙った攻撃
5位 内部不正による情報漏えい
6位 脆弱性対策情報の公開に伴う悪用増加
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位 ビジネスメール詐欺による金銭被害
9位 予期せぬIT基盤の障害に伴う業務停止
10位 不注意による情報漏えい等の被害

このように製造業を狙ったサイバー攻撃は着実に増えており、適切な対策が求められています。

製造業DXとサイバーセキュリティの関係|なぜ製造業が狙われるのか

製造業を狙ったサイバー攻撃の増加は、各社が推進しているDXと深く関わっています。

従来の製造業、特にOT(Operational Technology)と呼ばれる生産設備などの制御システムは、外部のネットワークから遮断された環境で運用されていたため、サイバーセキュリティ対策をする必要がないとまで言われていました。しかし、デジタル技術によるDXを推進する上で、IT(Information Technology)と呼ばれるインターネットを活用した情報システムとOTの融合が進んでおり、このデジタル化によってサイバー攻撃を受けるリスクが高まっています。

たとえば、生産設備から稼働状況などのデータを収集し、工場を「見える化」しようとすると、従来は工場内のネットワークにのみつながっていた制御システムがERP(基幹システム)などのITシステムとつながることになります。インターネットにつながっているITシステムを通じて制御システムがサイバー攻撃を受けると、技術情報が漏洩したり、設備の誤作動によって事故が発生したりする恐れがあるのです。

このように、製造業がサイバー攻撃を受けるリスクは高まっていますが、IT化推進のためデジタル技術を導入・活用するのに精一杯で、十分なサイバーセキュリティ対策を実施できていない製造業企業は数多く存在しています。製造業各社は、自社が抱えているサイバーセキュリティリスクを把握し、適切な対策を取る必要があるといえるでしょう。

(参考)経済産業省「工場システムにおけるサイバーセキュリティ対策の検討状況について

製造業が抱える4つのサイバーセキュリティリスク

DXを推進している製造業は、さまざまなサイバーセキュリティリスクを抱えています。ここでは、主要な4つのリスクを簡単にご紹介します。

製造業が抱える4つのサイバーセキュリティリスク

リスク1:OT(Operational Technology)

上述した通り、昨今の製造業ではOTが外部のネットワークとつながる機会が増えており、サイバー攻撃を受けるリスクが高まっています。ITを通じて、もしくはOTが直接サイバー攻撃を受ける被害が多発しており、従来はあまり重視されていなかったOTのセキュリティ対策が求められている状況です。また、OTは安定性を重視してOSやアプリケーションのアップデートが実施されていないケースも多く、全体的にセキュリティが甘い傾向にあります。

リスク2:IT(Information Technology)

製造業のITシステムには、顧客や取引先の情報、技術情報、知的財産といった重要なデータが蓄積されています。これらのデータがサイバー攻撃によって流出したり、破壊されたりすると、自社はもちろんのこと、顧客や取引先に対しても甚大な被害が及ぶ恐れがあります。昨今では大手企業を中心にサプライチェーンを含めたサイバーセキュリティ対策が重視されており、セキュリティが甘い企業は取引を継続できなくなるかもしれません。

リスク3:IoT機器

製造業の工場では、カメラやセンサーなどのIoT機器が活用されています。IoT機器はスマートファクトリーの実現に欠かせないデバイスですが、小型で必要最小限の機能のみに絞っているものが多く、セキュリティソフトの搭載が難しいケースがあります。実際に、IoT機器を経由してOTやITがサイバー攻撃を受ける被害が増えており、IoT機器のセキュリティ対策が課題となっている状況です。

リスク4:テレワーク

昨今では、働き方改革の一環として製造業でもテレワークが行われるようになりました。しかし、テレワークは外部の環境から社内のネットワークやシステムにアクセスするため、必然的にサイバー攻撃を受けるリスクが高まります。また、IT担当者による管理が行き届かないため、従業員一人ひとりのセキュリティ意識を高めなければなりません。これからの企業では、テレワークも考慮したサイバーセキュリティ対策が必要になっていくでしょう。

製造業に求められる5つのサイバーセキュリティ対策とは

では、製造業では実際にどのようなサイバーセキュリティ対策を行えばよいのでしょうか。主要な対策を3つご紹介します。

対策1:セキュリティガイドラインの策定

まず実施しておきたいことは、セキュリティガイドラインの策定です。自社の抱えるサイバーセキュリティリスクを正しく認識し、企業全体としての対応方針を定めて管理体制を整備します。経済産業省が公開している「サイバーセキュリティ経営ガイドライン」などを参考にしながら進めるとよいでしょう。

対策2:セキュリティサービスの導入

セキュリティソフトやサービスを導入して技術的な対策を行います。OSやアプリケーションを最新のバージョンに更新する、ウィルス対策ソフトを導入するといった基本的な対策が有効です。最近ではIoT機器に関しても専用のセキュリティソフトが提供されているので、できる限り活用することをおすすめします。

しかし、実際のところ日々進化するサイバー攻撃を完全に防ぎ切ることは極めて困難であると言われています。そこで重要になるのが、デバイスやネットワークの監視ツール(EDRなど)です。デバイスがウィルスに感染したり、ネットワークへの不正アクセスが発生したりした際に、素早く察知して適切な対応を取れれば、サイバー攻撃の被害を最小限に抑えられます。

対策3:経営層や関係部署の協力を得る

十分なセキュリティ対策を講じるためには相応のコストがかかるため、経営層や関係部署の了解を得られるよう必要性を説明し、費用を確保しましょう。

そのためにも自社のセキュリティ対策に、具体的にどのようなものが必要なのかを明確にすることが必要です。また、同時にセキュリティ事故が発生した場合の想定被害額を算出し提示することで、必要性を訴えやすくなります。

対策4:IT人材の確保

工場のセキュリティ対策を推進する際は、適切な対策を整備できる人材も必要です。このとき、セキュリティ体制を構築するだけではなく、その後の保守・運用を行える人物である必要があります。

また、セキュリティ対策に強みがあるIT人材というだけでなく、生産設備・生産システムに精通している人材でなければなりません。適任者を雇用する方法が一般的ですが、昨今ではIT人材は「2025年の崖」問題の影響もあって各業界で争奪戦となっており、すぐに雇えるものではありません。良い人材確保のためには長期的な計画を立てて取り組むことが大切です。

(参考)経済産業省:DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~

対策5:従業員へのITリテラシー教育

従業員のITリテラシーの向上に取り組むことも極めて重要です。いくら強固なセキュリティソフトやサービスを導入しても、従業員のミスによって情報漏洩が発生したり、サイバー攻撃を受けたりしては意味がありません。定期的な研修や注意喚起を行い、従業員一人ひとりがセキュリティを意識した行動を取れるようにしましょう。

【参考】サイバー攻撃に遭ったときの行動とは
サイバー攻撃を受けてしまった場合、感染した端末の切り離しや駆除はもちろんですが、感染規模によって対外的な情報連絡も必要になります。
令和4年から、特に個人情報の漏えい等の発生時には個人情報保護委員会への報告及び本人への通知が義務となりました。それ以外にも取引先や顧客への連絡、情報公開のほか、行政機関への報告、IPAへの報告、警察への通報等が必要になります。
一度サイバー攻撃を受け感染が拡大してしまうと、大きな損失となるのはご存じのとおりです。事前の予防と検知が需要なのはもちろんですが、万が一マルウェア等に感染してしまった場合に、迅速に対応できるように準備を行っておきましょう。

厚生労働省:個人情報保護法改正に伴う漏えい等報告の義務化と対応について
総務省:サイバー攻撃被害に係る情報の共有・公表ガイダンス(令和5年3月8日)
IPA:コンピュータウイルス・不正アクセスに関する届出について

製造業のセキュリティ対策で重要なポイント

製造業のセキュリティ対策で重要なポイント
(画像=Levin/stock.adobe.com)

近年では、ITシステムの発展によりスマート化が進み、業務の効率化や生産性の向上など、さまざまなメリットを得やすくなっています。実際に、IoT機器を利用して収集したデータを蓄積することによって、プロセスを最適化し、企業にとって大きな利益を得るチャンスが増えています。

しかし、ひと昔前の製造業のシステムと異なり、インターネット環境を活用するシーンが多いため、強固なセキュリティ体制を構築する必要があります。今後も、ITシステムに関する大きな技術革新が起こる可能性は高く、さらなる発展が見込まれるでしょう。

サイバー攻撃も日々巧妙化しているため、適切なセキュリティ体制も同時に考えなければなりません。そのためにも、自社の工場内の設備状況や設定を確認し、必要な対策を洗い出すとよいでしょう。また、スマート化を進めている段階であれば、導入する新しい設備に対して効果的なセキュリティ対策もセットで検討するべきです。

実際に、クラウド・AI・IoT・ネットワーク・サーバーなど領域によって防御方法は異なります。スマート化を推進する際は、設備投資のコストだけでなく、十分なセキュリティ対策を講じるための費用も考慮しましょう。

まとめ|サイバーセキュリティ対策が製造業DXの土台となる

今回は、製造業のDX実現に欠かせないサイバーセキュリティ対策についてご紹介しました。製造業は現在、先端技術を活用する流れからスマート化、業務効率化が進み生産性が高まっています。一方、クラウド技術やIoT機器を利用するためインターネット環境が必要になり、サイバー攻撃を受けるリスクが高まります。

外部ネットワークに接続する以上、サイバーセキュリティ対策に取り組まなければ、デジタル技術を活用した製造業DXによってリスクが増えていくおそれがあります。自社・取引先・顧客などの貴重な情報資産を守り、円滑な事業活動を支えるために、サイバーセキュリティ対策は必須の取り組みです。DXの実現に向けて自社のサイバーセキュリティ対策を見直し、製造業DXの土台を築いていただければ幸いです。

【こんな記事も読まれています】
【会員限定動画】サプライウェブで実現するマスカスタマイゼーション時代の企業戦略
製造業における購買・調達業務とは?課題の解決方法も紹介
ビジネスや技術のトレンドに反応しながら進化を続けるCRMの事例を紹介