製造業のデジタル化に潜む“盲点”とは ／「うちは大丈夫」が命取りに！ 製造業を狙うサイバー攻撃の現状とその対策

製造業のデジタル化に潜む“盲点”とは 「うちは大丈夫」が命取りに！ 製造業を狙うサイバー攻撃の 現状とその対策 シスコシステムズ合同会社 たった1社の油断が セキュリティ事業 工場の生産停止という事態に サイバーセキュリティ事業営業部長 中河 靖吉氏 　デジタルトランスフォーメーション（DX）の推進はあらゆる産業 に共通するテーマである。ものづくり大国・日本を支える製造業 もデジタル化に取り組む企業が増えつつある。 　ロボットによる自動化・省人化が進めば、生産性や安全性が 向上する。データとAIを活用すれば、設備の異常を早期に検知 する故障予知が可能になり、稼働率や歩留まりの向上につながる。 迅速なラインの立ち上げやライン管理のリモート化、生産・在庫 の最適化も可能になるだろう。 ル化の進捗状況を踏まえて、最低限のセキュリティー対策は実施 　その一方で、デジタル化の流れはものづくり企業に新たな している場合が多い。しかし、新たな攻撃手法が現れ被害を防 リスクを突き付けている。サイバーセキュリティーの脅威だ。 げない。ここに本当の怖さがある。 Emotetによる大規模攻撃が仕掛けられ、ランサムウエアによる 　根本的な問題として指摘されているのが、ガバナンスの不徹底だ。 被害も後を絶たない。大手自動車メーカーの国内工場が操業停 近年、大手製造業では生産現場向けのセキュリティーガイドライ 止に追い込まれた事案は記憶に新しい。 ンを整備する動きが始まっており、セキュリティー対策の注意喚 　その原因はサプライチェーンの1社であるプレス会社がサイバー 起と対策の実施をサプライチェーンにも求め始めている。「サイバー 攻撃を受けたこと。昨今のサイバー攻撃はいきなり“本丸”を狙わ セキュリティーはシステムや仕組みを入れるだけでなく、攻撃の ず、サプライチェーンの中で守りが手薄な取引先を狙う。そこを 変化に合わせて対策や運用を見直すことが欠かせません」。こう 足掛かりにして巧妙な手口で“本丸”に攻め込む。いわゆる「サプ 話すのは、シスコの中河 靖吉氏だ。 ライチェーン攻撃」といわれる手法だ。 　ガイドラインを示し、その順守を求めるだけでなく、施策実施 　デジタル化にはオープンな技術やクラウドなどの活用が欠かせ 状況や運用まで含めてガバナンスを効かせる必要がある。しかし、 ない。多くの機械もネットワークでつながり、アプリケーションで 委託元が各取引先に対してそこまで踏み込めるのか。リソース（人・ 制御する。しかし、サプライチェーンを構成する企業すべてが万 モノ・コスト）を考えると高いレベルでのセキュリティー対策の実 全の対策を施しているとは限らない。企業規模や知名度からすれ 現は難しく、会社間の信頼や関係性という点でも悩ましい問題を ば狙われることはない――。中小企業の中にはそんなふうに思っ 孕んでいる。 ている企業もある。その意識を攻撃者に付け込まれるわけだ。 　事態を重く見た政府は、経済産業省・金融庁・総務省・厚生 　企業規模にかかわらず、すべての企業がサプライチェーンの一 労働省・国土交通省・警察庁・NICT（情報通信研究機構）の7 員として、セキュリティー対策を抜本的に見直す必要がある。次ペー 組織連名で「サイバーセキュリティ注意喚起」を2022年3月1日 ジ以降では、政府の方針を基に、その具体的な考え方や道筋を に発表。サプライチェーン各社へサイバーセキュリティー対策強 ひも解いていきたい。 化の指針を示した。その要諦は図に示した通りだ（図1）。 　「まずサプライチェーン全体を俯瞰し、発生するリスクを自身で 政府の方針からひも解く、 コントロールできるよう適切なセキュリティー対策を実施すること。 工場セキュリティー強靭化の道筋とは 海外拠点についても、国内の重要システムへのサイバー攻撃の足 掛かりになることを考慮し、国内システムと同様に支援・指示で 　大手自動車メーカーの操業停止事案は、対岸の火事ではない。 きることが求められています」と中河氏は指摘する。 過去のセキュリティーインシデントを見ても、足掛かりにされた取 　具体的には多要素認証などによる本人認証の強化、IoT機器を 引先が何も対策を施していなかったわけではなかった。取引先は、 含む情報資産の把握と脆弱性対応、フィッシングメール対策など 発注元のセキュリティーガイドライン、自社の生産設備のデジタ を実施し、リスク低減を図る。各種ログ確認、通信の監視・分析、 1

図1　製造業サプライチェーンのサイバーセキュリティー対策 工場・サプライチェーン全体 メール攻 撃やネットワーク インシデント対応のための体制や 経由攻撃のリスク低減を図 プロセス、対処手順の整備 り、インシデントの早 期 検 メールによる標的型攻撃（フィッシングなど） フィッシングメール対策 知を実現。インシデント発 委託先／仕入れ先（国内／海外） 委託元 ・社員宛にマルウエアを添付したメール（Emotet 生時に迅速に対処・回復 など）、またはC＆Cなどへの誘導リンクを含む 生産設備ネットワーク できる仕組みと体制も整え メール（フィッシングメールなど）を利用し、侵入 の仕込みを行う る。生産設備を含めたサプ ライチェーン全体をカバー ネットワーク経由の攻撃（リモート） ソフトウエア／システム する対策が不可欠だ 開発者・運用者・利用者 ・脆弱性のあるネットワーク機器をついて侵入（不 要なポートが空いている、脆弱性のあるソフトを インターネット データ データバック実施と 利用している、など） 復旧手順の確認 攻撃者／組織 ・リモートアクセスのセキュリティーが脆弱である 本人認証の強化 場合、ユーザーになりすまして侵入 サーバーなどにおける 各種ログ確認 ネットワーク経由の攻撃（オンサイト） 通信の監視・分析／アクセス Apps コントロールの再点検 IoT機器を含む情報資産の ・悪意を持ったユーザーが内部ネットワーク 保有状況を把握 に接続し侵入（無線LAN、有線LAN） 構内ネットワーク ・外部から持ち込んだUSBを経由してウイル 情報資産の スを侵入させる 脆弱性対応 アクセスコントロールの再点検を徹底し、インシデントの早期検 ゼンが実施されている。変動要素もあるため、実態も把握しにく 通信の監視・分析／アクセス 知を可能にする。さらにデータ損失などに備えたバックアッコンプトとロー復ルの再点検い。「生産を止めないことを優先するOTと、情報漏えいなどの企 旧手順、インシデント発生時の対応体制やプロセス、対処手順を 業リスクを優先するITの事情、知識・経験をすり合わせ、互いが 整備し、インシデント発生時に迅速かつ適切に対処・回復できる 連携してセキュリティー強化に取り組むことが肝要です」と中河氏 ようにする、といった内容が盛り込まれている。 は主張する。 OTとITにはセキュリティー運用の 工場セキュリティーの実現に向けた “温度差”がある シスコの提案は 　政府の指針に基づいた対策を行うためには重要なポイントがあ 　攻撃の特性も留意する必要がある。「工場内のネットワークやイ る。工場におけるOT（工場やプラントなどの制御機器を制御し ンフラは攻撃者に狙われることがないという“安全神話”はもはや 運用するシステムやその技術）と情報系のIT（情報を取り扱うシス 通用しない。攻撃者は人を狙うか、システムやネットワークの脆 テムやその技術）を統合したサイバーセキュリティー対策を考え 弱性を狙う。そのどちらかの手法で攻撃を仕掛けてきます」と中河 ることだ。というのも生産現場のデジタル化においては、OTの 氏は警鐘を鳴らす。 インフラをITの技術を使って構築し、制御する形が増えているか 　生産設備やOTのライフサイクルはITインフラと違って10年、 らだ。 20年と非常に長く、サポート切れのOSやデバイスが数多く存在 　そうなるとセキュリティーインシデントの影響範囲が広範になり、 する。そもそもセキュリティー対策ソフトのインストールが動作保 従来IT側にあったリスクがOT側にも広がり始めている。「これま 証対象外となっており、対策が手付かずのシステムやデバイスも でサイバーリスクとは無縁と思われていた製造現場も、情報系の ある。ここを見落とすと、セキュリティーリスクへの考慮が不十分 ITインフラと同等のリスクに晒されています。この点に危機感を な形でインターネットへの直接的なアクセス環境ができてしまう（図 抱いている会社が少ないのが現状です」と中河氏は訴える。企業 3）。「工場内の社員のセキュリティー意識の向上を図り、潜在的 規模の違いによりシステム化・デジタル化進捗の差異はあるが、 なリスクの把握と対処を進める。人とシステムの両軸でセキュリ サプライチェーンの中で関連各社が他社への影響を考慮した対応 ティーを強化するという考え方が不可欠です」と中河氏は続ける。 が求められているわけだ（図2）。 　製造現場の現実とサイバー攻撃の現状に合わせ、シスコは強 　とはいえ、その実現は一筋縄ではいかない。OTとITのセキュ みであるネットワークを基軸にした工場セキュリティーを提案する。 リティー運用には“温度差”があるからだ。「OT側は生産を止めな インターネットにつながる外部接続ポイントを守り、仮に組織に いことが最優先であり、生産の停止につながることをリスクと考える。 脅威が侵入されてもリアルタイム監視で即座に把握・対処する。 一方、IT側は情報漏えいなど情報の機密性を重要視します」と中 製造業サプライチェーンを支えるネットワーク全体に、大きなセキュ 河氏は説明する。考慮すべきセキュリティー対策が数多く存在す リティーの網をかけるイメージだ。「ネットワークに軸足を置くことで、 る中で、製造現場ならではの課題も山積している。 そこにつながる設備やデバイスを包括的に守ることができるのです」 　例えば、製造現場は脆弱性対応を必要なタイミングで実行す （中河氏）。 ることが難しい。生産を重視するため、脆弱性対応によってライ 　これにより、対策が手付かずだったシステムやデバイスを見え ンを止めたり、生産に遅れが出たりするのは極力避けたいと考え る化し、監視・管理することも可能になる。「既存の設備やセキュ るからだ。製造工程は分業化されており、ラインごとに適宜カイ リティー対策に極力手を加えず導入できるため、投資も保護でき 2

図2　製造業サプライチェーンのインフラ環境とセキュリティー サプライチェーン全体 リモートアクセス クラウド クラウド クラウド 社員 サプライヤ 企業DC インターネット 工場内 工場内 工場内 オフィス ゲートウエイ オフィス ゲートウエイ オフィス ネットワーク ネットワーク ネットワーク ファイア 工場内幹線ネットワーク 工場内幹線ネットワーク 工場内幹線ネットワーク ウオール 生産ライン 生産ライン 生産ライン IT部門管理 生産設備 生産設備 生産設備 生産設備 生産設備 サーバー 生産設備 生産設備 生産設備 生産設備 生産設備 サーバー 生産設備 生産設備 生産設備 生産設備 生産設備 ネットワーク 生産ライン情報（現場） 生産ライン情報（現場） 生産ライン情報（現場） 設備稼働情報 ライン状態監視 設備データ （人を含む） （診断） … 設備稼働情報 ライン状態監視 設備データ （人を含む） （診断） … 設備稼働情報 ライン状態監視 設備データ （人を含む） （診断） … セキュリティーインシデントの影響範囲が広範値と セキュリティーインシデントの影響範囲は限定的とい セキュリティーインシデントとしての影響は局所的で なるため、インターネットを活用したデジタル化推進 えるが、企業間でのシステム連携の有無などを踏ま あるが、サプライチェーン全体で見た場合の影響を については十分なセキュリティー対策が必要 えて影響範囲やリスクを十分に加味した対策が必要 考慮し、必要なセキュリティー対策が必要 インターネットを介して各工場や本社、取引先がつながっている。システム化・デジタル化の推進状況によってリスクと必要な対策は異なるが、 他社や他工場への影響を極小化すること重要だ ます。変更点が少なく、オペレーションもやりやすいため、人を する。「日本では政府と連携しながら、IT人材育成、ネットワーク 狙う攻撃に備える上でもメリットが大きい」と中河氏は話す。 セキュリティー、産業、行政、教育、医療などの分野でデジタル 　シスコはソリューションを提供するだけでなく、大局的な視 化支援のプロジェクトを推進しています。工場セキュリティーを 点から日本のデジタル化促進も支援している。それが「カント 中心とする製造業のサプライチェーンリスク対策もこの中の重要 リー デジタライゼーション アクセラレーション（Country 施策の1つです」と中河氏は説明する。 Digitalization Acceleration：CDA）」プログラムである。 　製造業のデジタル化を進めるためには、攻撃の進化に対応し シスコが事業展開する国々への中長期的なコミットメントと投資 サプライチェーン全体のセキュリティーを強靭化する必要がある。 を実施し、デジタル化を通じて国の課題解決や経済成長に貢献 シスコは、ネットワーク起点でその実現を支援していく考えだ。 図3　製造業を狙った脅威の特徴 人やデバイスを狙って外部から侵入するだけでなく、サポート切れPCやセキュリティー対策ソフトを導入できない設備から侵入するケースも多い。 端末が感染すると、同一ネットワーク上の端末に感染を拡大させていく ◉お問い合わせ シスコシステムズ合同会社 URL：https://engage2demand.cisco.com/LP=617　TEL：0120-092-255 日経BPの許可により、2022年12月12日～ 2023年3月5日掲載の日経クロステック Active Specialを再構成したものです。©日経BP 3