サイバー攻撃に関する製造業界の特徴と考察

トレンドマイクロは、2022年に石油・ガス会社、製造業、電力会社における産業用サイバーセキュリティの状況に関する調査を実施しました。米国、ドイツ、日本の900人を超えるICSビジネスおよびセキュリティリーダーへの調査から得られた結果をさらに業界ごとに分析しました。この調査から見えてきた業界ごとの特色、今後サイバーセキュリティを改善していくための動機や環境要因について解説します。今回は製造業界を取り上げます。

石油・ガス会社の解説はこちら
電力会社の解説はこちら

製造業は多くの国において基幹産業の1つとなっています。先進国のテクノロジー企業は高付加価値製品の研究と開発に投資し、競争力の維持を図ります。また上昇を続ける労働者の人件費削減のため産業用ロボットの利用はますます増える傾向にあります。常に効率化と先進性を求められる製造業ではIT技術によるOTモダナイゼーションが進んでいます。生産性を優先させた結果セキュリティ対策が後回しになることがあります。サイバー攻撃をきっかけにドイツや日本の自動車会社の工場が操業停止になったインシデントは世界中で大きく報道されました。ここではトレンドマイクロが実施したレポートから製造業に特有の傾向をレポートより抜粋してお伝えします。

1.1　サイバー攻撃による停止時間は短く被害金額換算は他2業種より小さい

サイバー攻撃に起因するシステム停止期間は製造業平均で5日間です。このうち停止時間が3日以内に収まったのが50％と最も多く、1日かそれ以下と回答した企業は15％と停止期間は他2業種と比べて短い期間の割合が多い傾向にあります。システム停止期間が8日以上と回答したのは12％でOil＆Gasの28％に比べて圧倒的に少ない結果となりました。これに関連してサイバー攻撃による被害金額換算は3業界の中で最も低く全体平均の約3分の2で、最も高額だった石油・ガス会社の約半分に収まっています。

図表1. Q9.過去 12 か月間の間、サイバー攻撃の結果、組織の ICS/OT システムの運用は通常、どのくらいの期間中断しましたか。(N=829)

製造業の工場には大別して組立製造とプロセス製造がありますが、このうち組立製造は、異常を検知した際に部分的に停止したり、ネットワークを切り離したりすることが比較的容易です。これによりインシデントへの対応時間が比較的短期間で完了すると推測できます。また、その分システム再開も早くできるため、結果的にサイバー攻撃による金銭的ダメージが少なくなっている可能性があります。

1.2　サイバー攻撃への対処の中でシステムの運用を停止せざるを得なかった攻撃は「Exploitation of external published application or cloud service」が最も多い

様々なサイバー攻撃へどのように対処したかという質問に対し、「この種の攻撃を阻止することができず、インシデントに対応する必要があった」と回答した攻撃の種類を分析しました。その結果、製造業界は外部アプリケーションやクラウドサービスの悪用が最も多く32％、ついでリムーバブルメディアを介したマルウェア感染で30％という結果になりました。他方、リモートアクセスの悪用は業界の中では最も少なく15％という結果になりました。

図表2. Q4_1 ~ Q4_7.あなたの組織は、次の種類のサイバー攻撃にどのように対処していますか? （注：複数選択可）

組立製造業界では、多様な機器を複数のベンダーから調達し導入しているという特徴があります。DX推進と関連してクラウド利用やIoT機器も増えていると想像できます。素早く新しい技術を導入できる反面、侵入口を増やしている可能性もあります。総合的なリスク判断やインシデントへ対応の難易度があがる可能性があります。
プロセス製造業界においても、ゆるやかにDX推進は進んでいます。新しいサービスをある特定の工場で利用開始する場合でも、総合的なセキュリティマネージメントが必要であると言えます。

また、製造業におけるリムーバブルメディアの利用は保守点検の際に利用されることが多く、各ベンダーの保守要員がメンテナンスを行う際にマルウェアに感染する可能性もあります。リムーバブルメディア利用時のセキュリティ確保が急務であると言えます。

1.3　サイバーセキュリティ改善への取り組みは改善の余地あり

組織がインシデント後にサイバーセキュリティを改善しているかどうか訊ねたところ「We always/usually make improvements」と回答した割合は他２業界に比べればわずかに高い56％という結果でした。

図表3. Q10.過去12か月間の間、インシデント後、将来の攻撃リスクを最小限に抑えるために、あなたの組織はサイバーセキュリティを改善していますか? (N＝829)

前述の通り停止時間が短く、短時間で対応したインシデントが多かったことが予想できますが、原因究明が不十分なまま復旧させた可能性もあります。その場合同様の手口による被害に再び遭う可能性があると言えます。

1.4　セキュリティ強化のドライバーは再発防止、次いで5Gの実装/実装計画

サイバーセキュリティ対策を実装する理由を「これまで^※」と「今後3年間」に分けて上位2つが何かをヒアリングしました。その結果、最も強いドライバーとなったのは「Because we prevent recurrence of specific security incidents」で、再発防止や改善に対し継続して注意を払っていることが読み取れます。続いて5Gへの実装/実装計画の伸び幅は3.5ポイントとなっており高い割合を示しています。特にドイツは業界平均の25.2%を上回り31.4%と高く、日本ではこれまでより7.2ポイントも上昇しました。業界ガイドラインへの準拠もスコアが高く出ています。
※調査（2022年2月～3月）時点

図表4. Q19.これまで、あなたの組織のICS/OT システムを保護するためにサイバーセキュリティ対策を実装する理由の上位２つは何でしたか?（注：複数選択可）

図表5. Q20 .今後 3 年間で、あなたの組織のICS/OT システムを保護するためのサイバーセキュリティ対策を実装する理由の上位 2 つは、何だと考えますか。（注：複数選択可）

これらの結果となった理由や背景を考察します。
再発防止への取り組み意識が高い理由の1つには、製造業は常に生産性を高めるための改善プロセスが確立されている割合が高いと予想され、セキュリティもその仕組みに乗せる事が出来ているだろうという点があります。この結果はUS、ドイツ、日本で共通して最も高い値ですべての国で31％を超え、他業種のようにバラつきは見られません。業界を通した共通課題であることがわかります。

5Gへの取り組みは日本で最も変化し7.2ポイントもあがっています。日本では5Gの導入メリットが増えたことと、ローカル5Gの基地局免許を付与する際の条件としてセキュリティ対策が必須であるという2点が大きな変化に繋がったのではと考えます。総務省によりローカル5Gの利用制度が、2020年12月から伝送距離の長い4.6～4.9GHzへ使用周波数帯が拡張されたことや政府によって5G導入の優遇税制が導入されたことなどにより5G導入のメリットがさらに高まっています。総務省は5G導入のための特定基地局の開発計画の認定の条件としてサプライチェーンリスクを含むサイバーセキュリティ対策を講じる事を定めています。そしてローカル5Gにおいても免許時に同様の条件を付すこととされています。

ドイツにおける5Gへの関心は継続して高く31.4%と回答されています。ドイツは2016年ごろから検討・実装されてきた自立分散型の企業間連携の仕組み（GAIA-X）が2021年から本格的に活動しはじめたことや、ドイツ政府によるモバイル通信戦略、EU全体で進めるデジタル・ヨーロッパプログラムに対する投資などが背景にあり5Gへの取り組みに積極的です。同時にセキュリティの確保についても意識が高いと考えられます。クラウド利用についても同様にスコアは高いです。こうした新しい技術の導入が、新たなセキュリティリスクとならないよう、導入時点でのリスクや脅威の分析が必要です。

トレンドマイクロの提案

これまでの調査とその分析をまとめます。
・製造業界はセキュリティインシデントによる停止期間が比較的短く、結果的に金額面での被害額も相対的に小さい。これは組み立て製造システムが多く、システムの停止や開始が比較的容易であるためだと考えられる。
・セキュリティ改善に継続的に取り組んでいるが、クラウド利用時やリムーバブルメディア利用時のセキュリティ確保にはまだ課題が残っていると考えられる。
・クラウドや5Gなど新しい技術導入のハードルは他2業種に比べて積極的だが、その分関わる企業、製品が増え新たなアタックサーフェイスの分析などセキュリティ管理の要項が増える事に注意しなければいけない。
・多様なツール、サービス、ベンダーが混在する複雑なシステムのセキュリティリスクを可視化し、安全に運用するための対策を実施する必要がある。

トレンドマイクロはこの結果を受けて以下のように製造業におけるCISOのサイバーセキュリティチャレンジを整理し取り組むことを提案します。
・製造業の改善プロセスをセキュリティ改善や運用強化に生かし、再発防止からのOTに特化した予防策を実施する。
・インシデントが起きた際の正確な原因分析や対応をITとOTにまたがって行える体制や仕組みを作る。
・５Ｇなど新しい技術の導入時には、脅威やリスク分析を局所的ではなく包括的に実施する。またその運用中に動的に変化する状況を可視化し、インシデントの検知・対応時間の短縮や、関連して影響を受けるシステムを守るなど被害を最小限に抑えることにつなげる。

注
本調査で記載している「システム」とは産業用制御システム（ICS）とオペレーショナル・テクノロジー（OT）を表しています。ICSとOTは様々なタイプの制御システムと関連する計測器を表すために使用される総称で産業プロセスの運用および自動化に使用されるデバイス、システム、ネットワーク、および制御を含みます。よって調査中で記載している「システムの中断」が必ずしもプラント全体の停止、電力の供給停止を意味するものではありません。