工場の操業を脅かすサイバー攻撃サプライチェーンから外されるのを防ぐには何をなすべきか

ITから経営課題へ、取引先評価として重視されはじめたセキュリティ

サイバー攻撃による工場の稼働停止。2022年前半、国内製造業に相次いだサイバー攻撃は、サプライヤーや海外関連会社への攻撃がネットワークを介してその取引先や親会社に飛び火し、工場の稼働が停止するという事態に至りました。

いわゆる、サプライチェーン攻撃です。現在のサプライチェーンはデジタルを介して広くつながっています。このため、サイバー攻撃の被害は自社に留まらず、ネットワークを介して取引先の事業停止、サプライチェーンの分断という深刻な事態さえ引き起こす可能性があります。

「自社のサプライヤーが攻撃を受けた場合、自社は生産活動を継続できるのか」「自社に攻撃が飛び火するリスクはないのか」―。サイバー空間のリスクが経営リスクとなった今、こうしたリスクに対策していないサプライヤーと、クライアントは継続的に取引したいと考えるでしょうか。実際に、一連の被害報道を受けて、サプライチェーンに対するセキュリティ監査の改めて実施し、取引先や関連会社のリスク評価を行った事例が多く聞かれるようになりました。

サプライチェーンのセキュリティリスク管理に関しては、2017年サイバーセキュリティ経営ガイドライン改訂版にて、その必要性が示されています^※1。さらに昨今の被害状況を受け、2022年に入ってからは、公的機関や経済団体からサプライチェーンのセキュリティ対策の実施を後押しする発表がでています。同年10月、経団連はサイバーセキュリティ経営宣言 2.0において、「取引先や委託先、海外も含めたサプライチェーン対策」に努めることを宣言の一つに上げました^※2。また同じ10月、経済産業省と公正取引委員会は、サプライチェーン全体としてのサイバーセキュリティ対策の強化は重要な取り組みであるとして、取引先への対策の要請自体は独占禁止法上問題ではないが、方法や内容には注意が必要であるとの見解と、実践のためのガイドラインを示しました^※3。そして続く11月には、工場システムにおけるサイバー・フィジカル・セキュリティ対策（経済産業省）の第1版が公開され、サプライチェーン対策の重要性とともに、取引先や調達先に対する確認事項などより実践的な内容が示されました^※4。

※1 経済産業省、IPA　サイバーセキュリティ経営ガイドライン Ver2.0
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf
※2 経団連サイバーセキュリティ経営宣言 2.0　Declaration of Cyber Security Management 2.0　
http://www.keidanren.or.jp/policy/2022/087.html
※3 公正取引委員会、経済産業省　サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html
https://www.meti.go.jp/policy/netsecurity/#partnership
※4 経済産業省　工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

このように、サプライチェーンを維持のため、取引先に一定のセキュリティ水準を要請する枠組みが整いつつあります。それでは、サプライヤー企業として、サプライチェーンから外されないためのセキュリティをどのように実装していくべきでしょうか。製造業を取り巻くリスクを踏まえ、これからの事業活動とセキュリティの在り方を探ります。

スマート化で危惧される深刻な工場のセキュリティリスク

まず製造業を取り巻くリスクです。
以下の表は、今年上半期に公表された主な被害事例です。IT機器や社内ネットワークへのサイバー攻撃が、製造現場にまで被害を及ぼしている事案があることが分かります。

表　2022年上半期製造業のサイバー攻撃の例
※公表情報をもとにトレンドマイクロが整理

とくにランサムウェア攻撃の被害は深刻です。攻撃自体は以前からあるものですが、昨今は身代金要求額の増加が顕著です。背景には攻撃の変化があります。ばらまき型から、高価値資産を狙う標的型が主流となり、さらに複数回の脅迫で確実に高価値資産を奪取する手口が横行しています。多重脅迫と呼ばれ、データの暗号化に留まらず、情報の暴露（の脅迫）、サービス停止（の脅迫）、そして直接交渉（による脅迫）と、被害組織に複数の脅迫を仕掛け金銭を要求するものです。トレンドマイクロのグローバル調査では、ランサムウェア攻撃の実に7割以上で情報漏えい（情報暴露）、つまり2重脅迫が行われていたことがわかりました^※5。暴露された情報は、技術情報やビジネパートナーやサプライチェーン情報といった、企業にとって競争力の源泉となる非常に重要な情報です。このような事態は、企業の信用に大きく影響します。
※5ランサムウェア攻撃グローバル実態調査（2022年9月7日）
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220907-01.html

ランサムウェア攻撃を受けた場合、データ暗号化だけであっても、生産や取引に関係する業務システムに影響を及ぼし、取引先への納入遅延などサプライチェーンの活動に影響を与える事態になりかねません。さらにネットワークを介して取引先の社内、サプライチェーン全体に攻撃が広がれば、サプライチェーン分断という、より被害は甚大なものとなります。サイバー攻撃は、今や自社だけの損害に留まらないリスクになっているのです。

グラフ　ランサムウェアの攻撃数と平均身代金要求額の推移
※ https://blog.chainalysis.com/reports/2022-crypto-crime-report-preview-ransomware/
[画像のクリックで拡大表示]

今後危惧されるのが、製造現場で進むデジタル化によるサイバー攻撃のリスク増大です。

製造業においても、事業の基盤がデジタル技術へと置き換わるなかで、製造現場でのネットワーク接続やクラウド導入が進んでいます。設備の稼働状況などのデータを収集・分析し、故障を予知することで計画外の稼働停止を防ぐ障害の予兆検知には、ネットワーク接続やAI、またクラウド技術が利用されます。5Gネットワークなどの技術を利用したリモートでの保守作業の実現は、高度技術者が現地に赴かずとも、現地スタッフに作業指示を可能にすることで、人材不足や作業の効率化を可能にします。こうした外部との接続はつまり、サイバー攻撃の侵入経路が増えることを意味します。

では、実際にデジタル化が進んだ製造現場でどのような被害が考えられるのでしょうか。ご紹介したい実験があります。スマート工場を完全に再現した環境下で実施したサイバー攻撃の実証実験です。トレンドマイクロがミラノ工科大学と共同で行ったこの実験において、製造ラインへの攻撃シナリオの実現可能性が確認されました。また被害組織に気づかれることなく、攻撃者の製造システムのデータ改ざんにより、製造物損害、製造不良などが引き起こされるリスクが示されました^※6。
※6 スマート工場に潜むセキュリティリスク実証実験レポートを公開（2020年5月18日）
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20200518-01.html

動画　実験で実現可能性が確認されたサイバー攻撃による製造不良
MES（Manufacturing Execution System：製造実行システム）は、生産プロセスの中で特に製造工程の実行管理を担っているシステムです。このMESのデータベースの値を改ざんしたところ、製造物において本来想定していない場所にドリルが穴を開けました。さらに、範囲外の値を入力するとドリルは正常に作動せず、結果的に生産ラインが停止しました。

製造現場においてデジタル化が進み、工場自体が直接的に攻撃をうける可能性が高くなれば、その損害はより深刻なものになることが予想されます。製造業においても、デジタル技術が事業の礎となりつつある今、安全なデジタル技術の活用とセキュリティは対であることが分かります。

事業戦略にセキュリティを組み込む

事業の基盤としてのデジタル技術を安全に利用し、サプライチェーンの信用を得ていくためにはどうすべきでしょうか。大前提となるのは、セキュリティを戦略企画の段階から検討するということです。

図　セキュリティを戦略企画に組み込む
トレンドマイクロ　プラス・セキュリティナレッジトレーニング基礎より一部抜粋
[画像のクリックで拡大表示]

その方法として有効なのが、事業部門の中にセキュリティリスクを理解する人材（人財）「プラス・セキュリティ人材」を配置あるいは育成し、各事業内容に応じた適切なセキュリティ対策を計画、管理できる体制を構築するというものです。

製造現場とセキュリティの知識を有する人材を工場に配置すれば、工場内で進めるデジタル化やサプライチェーンの環境を踏まえ、セキュリティリスクや対策の優先度を正しく判断することができるでしょう。セキュリティ部門は、セキュリティの専門家として、こうした事業部の対策状況を監督するほか、意思決定に助言する役割も期待されます。

図　プラス・セキュリティ人材を中心にした事業部ごとにセキュリティ管理体制が必要
プラス・セキュリティ人材を中心に、それぞれの事業内容に応じた適切なセキュリティを計画、実行していくことが重要
[画像のクリックで拡大表示]

それでは、実際にサプライチェーンにおいて求められるセキュリティ要請にどう対応していくべきでしょうか。参考にいただきたいアプローチをご紹介します。

下図の樽は、サプライチェーンを構成する全組織のうち、最もセキュリティレベルの低い組織のレベルが、サプライチェーン全体のセキュリティレベルを決定する、ということを表した絵です。樽を構成するそれぞれの板はサプライチェーンに参加する組織であり、板の長さが、組織ごとのセキュリティレベルを示します。樽に貯められる水の量は、サプライチェーン全体におけるセキュリティレベルです。したがって、サプライチェーン全体のセキュリティレベルは、このなかで最もセキュリティレベルの低い組織で決まる、ということです。

サプライチェーンのセキュリティレベルを上げるためには、自社が「短い板」にならないこと、そして「短い板」の他社を入れないことです。

「短い板」にならないためには、自社のセキュリティレベルがサプライチェーンの中で相対的に低くならないこと、そして「あの企業はセキュリティレベルが低い」と他社から思われないようにすることです。

自社のセキュリティレベル向上は、事業継続性を目的としています。一方、セキュリティレベルが低いと他社から思われないためには、外部発信が必要なります。ここで最も重要なのは、いずれの場合も課題の特定が成功の鍵であるということです。どこが自社の弱点なのか、自社に求められる説明範囲はどこか、経営レベルで認識しておくことが重要です。

図　短い板にならないためには2つのアプローチが重要
[画像のクリックで拡大表示]

対策の企画、実行にあたっては、政府機関や業界団体のガイドラインを参照するとよいでしょう。工場に関しては、経済産業省より公開された「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（2022年11月）^※7が、工場セキュリティの手引書として参考になります。
※7 経済産業省　工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

また「短い板」の他社を入れない、このためには、計画通りの納期で部品が納入されることを目的とする場合、とくに自社の生産活動、事業継続に影響を与える重要なサプライヤーに対して、取引開始時にセキュリティ対策を求めるとともに、復旧力に焦点を当てたセキュリティ監査を実施することを推奨します。

復旧力に着目した監査での確認の例
・初回監査時
・生産活動に影響を与えるシステムにおいて、納期に対応する適切なRTO（Recovery Time Objective：目標復旧時間）が設定されているか
・RTOを実現するためのインシデント対応の体制構築、プロセスの整備、技術的対策、訓練計画があるか
・定期監査時
・定期的な訓練を実施し、それを踏まえ体制やプロセスの改善を実行しているか

こうした対応により、サプライヤーがサイバー攻撃の被害を受ける可能性を低減することができます。また、万が一攻撃を受けてしまった場合でも、自社への納品が遅れるリスクを低減することができます。

サプライチェーンを維持していくため、そして自社がその環から外されないために、セキュリティを事業戦略の企画段階から考え、プラス・セキュリティ人材とセキュリティの樽のアプロ―チを取ることが今企業に求められています。