中小製造業のセキュリティ対策は〇〇から始めよ

近年製造業では、工場のデジタル化や自動化が進む一方で、サイバー攻撃によるセキュリティリスクが高まっています。サイバー攻撃の被害に遭うと、工場停止や機密情報の漏えいなど重大な影響を及ぼす可能性があり、大手だけでなく中小の製造業の企業でも切実な問題になっています。

しかし、工場におけるセキュリティ対策の重要性は理解しつつも、「何から始めればよいか分からない」という方は多いのではないでしょうか？

今回はサイバーセキュリティのプロであり、現在NTTコミュニケーションズ株式会社で製造業向けに工場セキュリティ対策を提案している秋山 和秀氏にお話を伺いました。

01. 実はサイバー攻撃の被害が多い製造業

大西：まず初めに製造業は他の業界と比べて、サイバー攻撃の被害は出ているのでしょうか？

秋山：はい、たくさんの被害が出ています。しかも見方によっては最も被害が多い業界とも言えます。

警察庁が毎年発行している「サイバー空間をめぐる脅威の情勢等について」のレポートによると、ランサムウェアの被害の内訳は製造業の割合が突出していることがわかります。令和3年は全体の38%（55件）、令和4年は33%（75件）、最新レポートの令和5年では34%（67件）が製造業の被害で、3年続けて最も被害を受けている業界です。

(注) ランサムウェアとは　https://www.ntt.com/bizon/glossary/j-r/ransomware.html

一方、気になるのは半数以上の被害報告が中小企業であることで、令和5年は52%(102件)が中小企業の被害となっています。ランサムウェアの調査復旧費用は1000万円を超えるケースも報告されており、操業停止期間の営業損失も含めると中小企業にとっては大きな負担となります。また、操業停止は自社に止まらずサプライチェーン全体にも影響して、セキュリティ事故が発生した会社は信用を落とします。サイバー攻撃からの復旧後においても経営ダメージは計り知れません。

02. 製造業界におけるセキュリティ課題

大西：では製造業界におけるセキュリティ課題を教えてください。

秋山：制御システムが稼働している工場では長らく専用システム、クローズドネットワークの環境が続き、そのことが攻撃を受けにくい環境になっていました。しかしながら近年ではシステムのオープン化、外部ネットワークとの連携が進み、ITシステムに近い環境になってきました。このIT化の流れがサイバーリスクの高まりを生む結果となり、昨今では制御システムもセキュリティ対策が必要であると言われています。

(注) IT=Infomation Technology 、OT=Operational Technology：工場の生産設備や制御機器を制御し運用するシステムやその技術

また、今やDX推進の時代です。日本の製造業は、地道なカイゼン活動を通して品質向上と業務効率化を行ってきましたが、これからのさらなる効率化のためには、現場のデータを活用したスマートファクトリーの推進が必要と言われています。

そのため、工場に生じたリスク対応とスマートファクトリーの推進という両輪の活動が必要となりますが、ライフサイクルの長いシステム、特殊な通信プロトコル、セキュリティ人材や予算の不足等、様々な課題によりセキュリティ対策が進んでいないのが実情です。

大西：具体的には、どのようなセキュリティリスクがあるのでしょうか？

秋山：リスクは大きく2つに分けられます。一つはスマートファクトリー以前からのサイバーリスクです。PC、USBメモリをウィルスチェックせずに工場システムに繋いでしまう無防備な運用を続けている工場はまだあります。また操業安定性を優先するために、古いシステムを使っている工場が多く、セキュリティリスクを抱えたまま運用をしているのが実態です。

もう一つはスマートファクトリー推進により生じた新たなサイバーリスクです。スマートファクトリーの第一歩は現場データの収集ですが、データを収集し、社内外の分析システムに送るにはネットワークの接続が必要です。そのために繋げたネットワークが新たな攻撃対象になる場合があります。

また、工場でのリモートアクセスは新型コロナウィルスの流行以降、メンテナンス、モニタリング等、様々な用途で利用が拡大しました。ランサムウェア感染理由の第一位はリモートアクセスで利用するVPNだと言われています。セキュリティ目的で導入したVPNも脆弱性対策を怠るとランサムウェアの入り口になってしまうことはあまり知られていないようです。

03. 中小の製造業への影響

大西：中小の製造業の企業にはどのような影響がでてくるのでしょうか？

秋山：製造業の完成品メーカからみると、部品納入メーカのセキュリティ事故は、サプライチェーンに関わる重要な問題と認識されはじめており、部品納入メーカにもセキュリティ対策を求めるようになっています。今後、取引条件として、セキュリティ対策がどこまでできているかも見られるようになるかもしれません。

大西：そういう中小の製造業の企業の実態はどうでしょうか？

秋山：私が製造業のお客様とお話しするときに、下記のような項目についてヒアリングをするのですが、ほとんどのお客様で、該当する状況です。中小の製造業の企業では特に「何から手をつければよいのかわからない」という話が多いですね。

04. 何から始めるべきか？

大西：セキュリティ対策は、お金もかかるし、スキルの面でも大変という印象があります。中小では、費用の面、ITやセキュリティがわかる人材の面でも厳しいと思うのですが、そうした場合でもできるセキュリティ対策はないものでしょうか？

秋山：たしかに最初から、セキュリティの管理、監視のシステムやサービスを導入するのは、中小には敷居が高いと思います。そのような場合、私は、工場の従業員に対する、「セキュリティ教育」をまずおすすめしています。セキュリティ教育は、経産省がまとめたガイドラインの中でも必須要件となっており、まずはここからはじめる意義は大きいと思います。

大西：セキュリティ教育はシステム導入など必要なく敷居低そうに思えますが、どれくらいの効果があるものでしょうか？

秋山：下は、IPAからの資料引用ですが、セキュリティの10大脅威に対して、そのうち6項目に対しては従業員のセキュリティ意識が向上することによりリスク低減が期待できると思われます。

大西：セキュリティ教育が、はじめに実施するには敷居の低い対策で、かつ効果もあるのはわかりました。セキュリティ教育ですが、どのようなことをすればよいのでしょうか？

秋山：中小企業向けという意味では、IPAが「映像で知る情報セキュリティ」という動画ファイルを無償配布しており、YouTubeのIPA Channelでも動画を視聴できますので、コストをかけずにセキュリティ教育を実施するにはよいかと思います。但し、IT領域が中心なので工場を想定したものではありません。IT領域にくらべ、OT領域でのセキュリティ教育コンテンツはまだ少ないのが実態です。

大西：OT領域でのセキュリティの基礎を学習できる、手軽なeラーニングのようなものはないものでしょうか？

秋山：確かに、OT領域でのセキュリティ教育入門編のようなものがなかったため、私たちで「制御システムセキュリティ教育（基礎）」というeラーニングの講座をつくってみましたので、興味のある方は別途資料をご覧ください。

最近では、工場の従業員だけでなく、工場に出入りする業者の方にもセキュリティ教育をうけていただくことで、セキュリティリスクが低減されるとの声もあり、セキュリティに対する意識を高めることが重要な対策と考えます。

大西：ありがとうございます。最後に、秋山さんたちの今後の抱負をお聞かせください。

秋山：日本の製造業界で、中小の企業は、世界的にみても高い技術力、ノウハウをもっていると認識され、色々な意味で今後狙われる脅威が増大すると思われます。日本の製造業のサプライチェーンを守るためにも、中小の企業に利用できる敷居の低いセキュリティ対策がもっと必要と感じており、私たちはそれを提供していきたいと考えています。

工場の『セキュリティ』に関して、今後皆様のお役に立てる情報やサービスを検討したいと考え、アンケートを実施させて頂きます。

アンケートをご回答頂いた方には、結果を後日共有させて頂きます。下記から、是非皆様のご回答をお待ちしております。