日本で重要な位置を占める製造業に焦点を当て、製造業を脅かすサイバー攻撃の脅威と、データ保護についてさまざまな角度から解説する本連載。第2回では、製造業が狙われる背景、理由、そしてデータ保護の手法についてみていきます。
なぜ製造業が狙われるのか?
製造業がサイバー攻撃のターゲットになってしまう理由の一つは、使われる機械や設備が他業界に比べると古いということがあります。オフィスのPCが2、3年で新しいモデルに取り替えられるのに比べ、溶接ロボットのような産業用機械は10年から15年ほど使われます。ソフトウェアなどのアップデート等はされることもありますが、正常に稼働していれば手を加えられることなく年月が経ちます。
産業用機械の最新モデルはインターネット接続機能を備えていることが多く、工場ネットワークがよりサイバー攻撃の危険にさらされやすくなっています。以下、筆者の知っている事例を紹介しましょう。
あるガラス製造業者では、新しい機器として3Dプリンタを導入する計画が出てきました。搬入先からはこの機器にインターネット接続機能をつけないと維持管理のサービス提供ができず、その方が迅速な対応が可能でコストも安くなると言われました。サイバーセキュリティチームからは懸念の声が出ましたが、最終的に製造ネットワークの十分な対策が進まないままインターネット接続機能が導入され、この業者はサイバーリスクにさらされることになりました。
製造業が狙われるもう一つの理由として、製造業ではラインを止めることができないという背景から、身代金を払いがちということがあります。製造ラインの稼働が1分でも止まってしまうと大きな損害となるだけでなく、他社や顧客への影響も大きく、ここにサイバー攻撃者はつけ込んできます。
また、ここ5年ほどの傾向ですが、ランサムウェアを使った犯罪グループはデータ窃盗も行っています。今年8月に起きた、セイコーグループを狙ったランサムウェア攻撃では、従業員のパスポートや雇用契約書などの情報が盗まれたことがわかっています。
また、企業が抱える機密情報も狙われています。例えば、特許権は代表的な企業秘密ですが、ほかにも製造にかかわる重要な情報として、どの温度が最適か、どの材料を使えば最適かなど、技術情報や企業存続に関わるデータ等もあります。このように、製造業は犯罪グループにとって都合の良いターゲットになっているのです。
製造業におけるデータ保護のヒント
日本経済にとって製造業は重要な部門として、イノベーションの推進、生産性の向上、競争力の育成に重要な役割を担っています。しかし、デジタル時代はサイバー攻撃の増加ももたらしています。
情報処理推進機構(IPA)が日本の中小企業に勤務する従業員1000人に行ったアンケートによると、サイバーセキュリティ上の事故やトラブル発生率の高い業種の第3位に製造業が入っています(2021年12月8日発行「独立行政法人情報処理推進機構セキュリティセンターニュースレター」 より)。
以下、製造業が貴重な資産を安全に保つ5つの方法について説明します。
(1)ビジネスインパクトとリスクの分析
データ損失とダウンタイムに関連する潜在的な課題を理解するために、ビジネスインパクト分析(以下BIA)とリスク分析を行う必要があります。
非常事態が起きた場合、事業の復旧や継続に必要な行動は何か、どの業務から立ち上げるべきか、どこにどのリソースが必要となるかなど、優先順位を決めリスクを定量化します。BIAを実行することで保護すべき領域を明確化し強化することで非常時における中断を最小限に抑えるための対策が立てられます。
(2)要件と予算を満たす計画の策定
ビジネスニーズとリスクが評価できたら、組織と業界の要件、また企業予算を満たす計画を策定します。単にバックアップといっても、クラウドベースにするのか、オンプレミスにするのか、それともそのハイブリッドにするかといろいろオプションがあります。
ITチームはスケーラビリティ、つまり今後のシステムの規模の変化にどう対応できるか、またセキュリティ、コンプライアンス、パフォーマンス、可用性、使いやすさなどを考慮する必要があります。
(3)災害復旧計画の策定
次のステップは、災害が発生した場合の手順を説明する災害復旧計画の策定です。災害復旧計画には役割と責任、連絡先情報、目的、戦略、手順、テストスケジュールを含める必要があります。
またこの戦略は、災害後に運用を維持、再開する方法を広くカバーする事業継続計画と整合性をとる必要があります。復旧計画と継続計画の両方を作成する際は、デジタル脅威だけでなく自然災害、環境問題なども考慮していきます。
(4)定期的なバックアップ、テストの実施
計画を策定したら、定期的なバックアップと復元のテストをします。テストは復旧時点の目標、つまり災害発生時に許容される最大データ損失に沿う形で行い、復旧性と機能性が保証されているかを確認します。
ITチームは復元プロセスを検証することで、バックアップインフラの問題や潜在的なギャップを特定して対処し、データ復旧システム全体の復元力を確認します。
(5)外部リソースの活用
データ保護はそれを効果的に行うための専門知識やリソースが不足している企業にとって難題で、時間もそれなりにかかります。バックアップおよびディザスタリカバリソリューションをサービス提供する企業との提携も選択肢の一つです。
この手順は経済産業省が2022年11月に出した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」にも沿っています。
このガイドラインでは、3ステップを推奨しています。3つのステップとは「保護対象等と内外要件(経営層の取り組みの法令など)の整理」「セキュリティ対策の立案」「セキュリティ対策の実行、計画や運用方針の普段の見直し」です。
データ保護のソフトウェアやシステムは常に改良されており。サイバーセキュリティが手付かずにいる企業にとっていつ始めても遅いということはありません。まずは社内のどのシステムがインターネットに接続されているかなど現状を把握することが大切です。
著者プロフィール
キャンディッド・ヴュースト(Candid Wuest)Acronis リサーチ担当バイスプレジデント
IBM 、シマンテックなどで20 年近くにわたってサイバーセキュリティの脅威分析などに携わる。2020 年3 月から、スイスとシンガポールに本社を持つサイバーセキュリティ企業であるアクロニスのサイバープロテクション研究所担当バイスプレジデントを務めている。2022 年3 月からは、アクロニス リサーチ担当バイスプレジデントとして日々情報収集にあたっている。