サイバーセキュリティ対策に必要な６つの考慮事項 – 製造業の視点から

製造分野では、IoT の相互接続が必要になって特に、急速なデジタル化が進んでいますが、それに伴い、これまでにない新しいサイバーセキュリティリスクが発生しています。

製造業は世界経済の根幹を支える産業ですが、デジタル技術を積極的に採り入れて使いこなしていくことによって基盤産業としての重要性も高くなってきました。コンピュータベースの制御システムや産業用 IoT デバイスなどのイノベーションにより、生産性が向上し、多様なコラボレーションも促進されます。

製造業者は、新しいテクノロジーを使用して運用をデジタル化する一方、テクノロジーを使用して重要な各種データを保護し、顧客からの信頼を培う必要があります。

製造業はハッカーが狙うターゲット

Verizon の2020データ侵害調査レポートによると、製造業は以前からサイバー犯罪者のターゲットでした。攻撃者は外部だけでなく製造会社の内部にもいて、重要な会社所有のデータを獲得したり、気付かれないよう監視を行ったりして、製造会社に損害をもたらします。あるインシデント対応サービスが 2019年前半に処理した破壊的なマルウェアのケースの半分は製造業で発生したという報告もあります。ハッカーの攻撃によって、ITシステムに障害が起きたり、プラントや施設が停止や閉鎖に追い込まれることもあります。例えば、ホンダ自動車は、この6月、社内ネットワークがサイバー攻撃（ランサムウェア攻撃）を受け、世界各地の工場の一部を一時的に停止する必要がありました。

製造業で自動化、IoT、クラウドコンピューティングの採用がさらに進むにつれ、サイバー攻撃への脆弱性は、生産資材、製造設備、ロボット・AI・データに依存するロジスティクスなど、様々な分野に広範化します。つまり、製造業者は、製品データ情報が侵害され、知的財産が盗まれる可能性がある、DDoS、ランサムウェア、ICS、IoT、および IIoT（Industrial Internet of Things、産業用モノのインターネット）攻撃から保護する手段を講じる必要性に迫られています。

製造業のためのサイバーセキュリティ対策

製造業者は、セキュリティを強化し、壊滅的なデータ侵害を防止するために、戦略的で効果的なサイバーセキュリティ対策を施す必要があります。企業向けのサイバーセキュリティの場合、人、プロセス、テクノロジーという3つの重要な側面を考慮して、規制コンプライアンスを維持しながら、組織全体、すべてのサプライヤー、パートナー、請負業者と安全にデータを共有できるソリューションが必要です。以下に、製造業のためのサイバーセキュリティ対策に必要な考慮事項を列挙します。多くは、製造業に限らず、他の業種にも共通する重要なポイントです。

1. 保護すべきデータとその保存場所を特定する

企業が所有する構造化データ、非構造化データはすべて保護しなければなりません。まず、所有するデータのタイプと、そのデータがデジタル的にまたは物理的にどこに存在するかを特定する必要があります。ビジネス書式やプロセス、顧客契約、CAD 図面、企業秘密、顧客 IP、サプライヤー契約、ソースコード、その他の専有データがどこに保存されているかを正確に把握することは、それらのデータを保存、処理、送信するプロセスに関する適切なコントロールとポリシーを構築するための前提条件です。

2. ネットワーク内のすべてのハードウェアおよびソフトウェアデバイスのインベントリを作成、管理する

デジタル化が進んだ製造業においては、IoT の接続デバイスに脆弱性がある可能性も考慮しなくてはなりません。重大な脆弱性が発表されたとき、該当するすべてのデバイスに迅速にパッチを適用したり更新したりできるようにするためには、自社で使用しているデバイスをすべて完全に把握しておくことが必須です。

3. データが危険にさらされるタイミングを把握する

データ侵害の脅威を速やかに検出し、対応するためには、サプライチェーン全体におけるサイバーリスクを確認・評価して、データがリスクにさらされるタイミングがどこにあるのかを把握しておく必要があります。

4. ユーザーへのサイバーセキュリティ・トレーニング計画を策定する

サイバーセキュリティは、ユーザーである社員の積極的な参加を必要とする問題です。ユーザーは、サイバー攻撃のリスクを正しく理解し、リスクを最小限に抑えるために会社のポリシーを遵守する必要があります。IT部門では、サイバーセキュリティの企業文化を培うために、ユーザーに、サイバーセキュリティのベストプラクティスを身につけ、セキュリティ意識を高めるためのトレーニングを提供することを検討する必要があります。効果的なパスワードのみを許可し、定期的に変更するパスワード管理ポリシーも設定するべきでしょう。もしフィッシング攻撃などに遭ってしまったら、速やかに報告することを義務付ける必要があります。また、社員にサイバーセキュリティ関連の認定を取得するよう促すことも有効かもしれません。

5. 適切なセキュリティレベルを設定して割り当てる

役職や職務、使用デバイスや使用ネットワークに応じて適切に割り当てられるよう、セキュリティレベルを設定し、個々の社員に的確なレベルのアクセスを許可する手続きを定めておくことも重要です。機密データや特定の重要なサーバーへのアクセスに関しては、より厳しい制約を設ける必要があります。

6. ネットワークのセキュリティを強化する

重要な情報を保護するためには、ネットワークのセキュリティを強化し、しっかりコントロールする必要があります。ネットワークにセキュリティリスク評価システムを組み込んだり、侵入テストを行って脆弱な箇所がないかを確かめたりすることが考えられます。脆弱性が発見されたデバイスやソフトウェアは速やかに更新する必要があります。本人でないユーザーがアカウントにアクセスするのを阻止するための多要素認証の実装も必須です。

まとめ

デジタル時代に適応し、モノのインターネットの偏在化を牽引する製造業界は、サイバー攻撃のリスクがますます増大しており、サイバー攻撃の被害を被った場合の影響が大きいことを、しっかりと認識する必要があります。適切なサイバーセキュリティ対策を確実に実施するには、様々な点を考慮する多面的なアプローチが必要です。サプライチェーン全体にわたって、それぞれのエンドユーザーが、適切なテクノロジーを使用し、サイバー攻撃の可能性があることを認識して被害にあわないよう努力する必要があります。マルウェアへの感染、弱いパスワード、セキュリティが不十分なネットワーク、といった問題を最小限に抑えるために、明確なポリシーを策定し、ポリシーを遵守するためのプロセスも整備しておく必要があります。