インダストリー4.0時代のサイバーセキュリティ – 第1部

製造業がインダストリー4.0として知られるスマート製造の超接続時代を受け入れるにつれ、先進的な自動化、人工知能（AI）、モノのインターネット（IoT）、その他の最先端技術を導入する組織が増加している。この変革は、効率性、生産最適化、イノベーションにおいて前例のない水準を約束する。しかし、こうした進歩に伴い、サイバーセキュリティリスクも大幅に高まっている。 世界経済にとって極めて重要な製造業は、操業の混乱、機密データの侵害、そして甚大な財務的・評判的損害を引き起こす可能性のある複雑な脅威に直面し続けている。

製造業におけるサイバーセキュリティリスクは全体的に増加傾向が続いている。2023年には主要産業の中で同セクターがサイバー攻撃の最多被害を受け、2022年比42％増加した。サイバー恐喝事件全体の20％を占め、第2位の専門・科学・技術サービス業を大きく上回った。[1]この傾向は2024年も継続しており、製造業組織の65%がランサムウェア攻撃の被害に遭っている。これは2023年の56%、2022年の55%から急激な増加である。[2]さらに、様々な産業におけるIoTマルウェア攻撃は驚異的な400%の増加を示しており、製造業は世界で最も標的とされるセクターとなっている。 [3]こうした憂慮すべき傾向は、製造業環境特有の脆弱性に合わせた強固なサイバーセキュリティ戦略の緊急性を浮き彫りにしている。

製造業が直面する潜在的なサイバーセキュリティリスク

製造業者は、世界経済における重要な役割、重要産業やサプライチェーンを混乱させる可能性、そして業界内の組織が保有する膨大な量の機密データにより、サイバー犯罪者の主要な標的であり続けている。製造業者が直面するサイバーセキュリティリスクは、ランサムウェアを含むマルウェア攻撃、ソーシャルエンジニアリング攻撃、高度持続的脅威（APT）に大別できる。 知的財産窃取のリスク、サプライチェーンの混乱、産業制御システム（ICS）への攻撃など、この業界特有の脆弱性を考慮すると、これらの脅威は特に懸念される。サイバー攻撃は事業活動やサプライチェーンを混乱させ、デジタル化の恩恵を損なうだけでなく、多大な財務的損失や生産性低下、さらには評判の毀損をもたらす可能性がある。

ランサムウェア攻撃は、ウイルス、ワーム、スパイウェアなどの悪意のあるソフトウェアを展開するマルウェア攻撃の一種であり、製造業にとって依然として最大の脅威となっている。マルウェアはシステムに侵入し、損傷を与え、または混乱させるよう設計されており、デジタル環境における手強い敵である。しかし、ランサムウェア攻撃は製造業務全体を機能停止に追い込み、多大な財務的・業務的・評判上の損害をもたらす可能性がある。

ランサムウェア攻撃は一般的に、被害者のデータを暗号化してアクセス不能にし、機密情報の流出を伴うことが多い。2024年には、製造業者を標的としたランサムウェア攻撃の4件中3件でデータ暗号化が発生し、そのうち32%の攻撃ではデータ流出も確認された[4]。攻撃者はその後、身元や所在地を隠蔽する手段として、通常は仮想通貨による身代金の支払いを要求する。

製造業に対するランサムウェアなどのマルウェア攻撃が継続的に増加している背景には、同業界を魅力的な標的にするいくつかの固有の要因がある。 主要な要因の一つは、製造業がグローバルサプライチェーンにおいて担う極めて重要な役割である。攻撃者は、製造業務の混乱が波及効果をもたらし、複数の産業に影響を及ぼし得ることを認識している。さらに、ジャストインタイム契約、高稼働率、生産時間の損失を補填できない状況などから、製造業者は通常、ダウンタイムに対する許容度が非常に低い。結果として、これらの要因は製造業者に業務の迅速な復旧を強く迫り、身代金要求に応じる動機付けとなっている。

例えば、製造業はエネルギー、石油・ガス、公益事業と並んで、バックアップによる復旧よりも身代金支払いによるデータ復旧がより一般的な、たった2つのセクターの一つである。[5]ランサムウェア攻撃後、暗号化されたデータを復元できる製造業者はほぼ全て存在するものの、バックアップによる復元で対応できたのは58%に留まり、62%がデータを復号化するために身代金の支払いを余儀なくされた（2023年に報告された支払い率のほぼ2倍）。[6]

しかし、データが最終的に復元されるかどうかに関わらず、重要なデータを暗号化することで、ランサムウェアは製造プロセスを事実上停止させることができる。運用データにアクセスできない状態は、生産スケジュールの遅延、製品品質の低下、納期遅延を招く。 財務的影響は深刻であり、身代金の支払いとシステム復旧の即時コストだけでなく、操業停止やビジネスチャンスの喪失といった長期的な影響も含まれる。さらに、こうした侵害による評判の毀損は顧客の信頼や市場での地位を損ない、財務的影響をさらに悪化させる可能性がある。

AIの進歩が次の産業革命を推進する一方で、サイバー犯罪者は生成AIを活用して新たなマルウェアコードの作成、より強力な暗号化アルゴリズムの開発、製造業者情報システムにおける潜在的な脆弱性の特定を行い、マルウェア開発の自動化と規模拡大を進めている。

ソーシャルエンジニアリング攻撃は、人間の弱点を悪用し、攻撃者がランサムウェアやその他の悪意ある活動を展開するための入り口となることが多い。現実には、サイバーセキュリティにおける人的要因はしばしば最も脆弱な部分である。これらの攻撃は技術的な欠陥ではなく人間の弱点を突いてシステムやデータへの不正アクセスを得て、機密情報の窃取やより高度なランサムウェア攻撃を可能にする。

ソーシャルエンジニアリングの手法は多様かつ高度である。フィッシングはよく知られた手法で、攻撃者が個人を騙して機密情報を開示させたり悪意のあるリンクをクリックさせたりする詐欺メッセージを送信する。スピアフィッシングはより標的を絞った変種であり、特定の個人や企業を狙い、ソーシャルメディアやその他の情報源から収集した情報を利用して説得力のある個別化された攻撃を仕掛けることが多い。 ベイト攻撃は、無料プレゼントの提供など虚偽の約束でユーザーに行動を促す手法である。一方、プレテクスト攻撃は、被害者にアクセス権や情報を提供させるため、でっち上げたシナリオを構築して操作する手法である。

生成AIはソーシャルエンジニアリング攻撃の効果も大幅に高めている。攻撃者は今やAIを活用し、個人の心理的傾向を標的とした高度にパーソナライズされた説得力のあるメッセージを作成している。 例えば、AI生成のフィッシングメールは同僚や上司、経営幹部の文体を模倣できるため、被害者がメッセージを信頼し要求に従う可能性が高まる。同様に、AIはソーシャルメディアプロフィールから膨大なデータを収集・分析し、攻撃者が詐欺のための詳細で信憑性のある口実を作成することを可能にする。

高度持続的脅威（APT）は 、製造業などの高価値産業を標的とする高度で組織的な攻撃である 。これらの攻撃は、機密情報の窃取や重要インフラの妨害を目的として、豊富なリソースを有する高度な技術を持つグループによって実行される。製造業分野では、APTは専有生産技術、製品設計、研究開発データ、戦略的ビジネス文書などの貴重な知的財産（IP）を頻繁に標的とする。 こうした独自情報の窃取は、その高い価値ゆえに攻撃者にとって特に狙い目であり、その影響は甚大です。市場シェアの喪失、競争優位性の低下、そして多大な財務的影響を招く可能性があります。

APTは、知的財産の窃取だけでなく、重大な操業障害を引き起こすことで、製造業の運営に重大な脅威をもたらす。製造業者のネットワークへの長期にわたる不正アクセスにより、攻撃者は産業用制御システムを操作し、生産プロセスを妨害し、さらには設備を破壊する可能性さえある。例えば、2010年のStuxnet攻撃は、APTが攻撃者に産業用制御システムの制御権を与え、広範な操業被害をもたらし得ることを実証した。

さらに、APT攻撃は相互接続されたネットワークの脆弱性を悪用することでサプライチェーンを侵害する可能性があります。攻撃者は、サイバーセキュリティ対策が脆弱な単一のサプライヤーを経由して侵入することが多く、これにより製造サプライチェーンの下流に広範な影響が及ぶことがあります。2020年のSolarWinds攻撃はその顕著な例であり、あるサプライヤーのシステムへの侵入が、世界中の複数の業界や組織に広範な影響を及ぼしました。

インダストリー4.0技術の導入に伴うサイバーセキュリティリスクの特定と軽減

人工知能（AI）とモノのインターネット（IoT）。AIとIoTは製造業におけるデジタル変革の最前線にあり、スマートファクトリーの進化とより広範なインダストリー4.0の概念を推進している。機械、センサー、システムを連携させることで製造環境内の接続性を高めるIoTデバイスは、膨大な量のデータを生成する。AIはこのデータを活用し、高度な分析を実行し、ワークフローを最適化し、複雑なプロセスを自動化する。 例えば、予知保全ではAIアルゴリズムを用いてIoTセンサーからのデータを分析し、設備故障が発生する前に潜在的な問題を特定し、計画外のダウンタイムを防ぐためのメンテナンスをスケジュールします。リアルタイム監視により製造業者は生産指標を継続的に追跡でき、即時の調整と改善が可能になります。AIとIoTの力を活用することで、製造業者は業務を最適化し、ダウンタイムを削減し、全体的な効率性を向上させることができます。

しかし、IoTデバイスの統合は攻撃対象領域を拡大し、サイバー攻撃者にとっての侵入経路を増やす。多くのIoTデバイスはセキュリティよりも機能性と相互運用性を重視して設計されているため、悪用されやすい。広範なシステム内のIoTデバイスに関連する具体的な脆弱性には、保護されていない接続や堅牢なセキュリティプロトコルの欠如が含まれる。攻撃者はこれらの弱点を悪用して製造ネットワークへの不正アクセスを得たり、業務を妨害したり、機密データを窃取したりする可能性がある。 IoTインフラの拡張を目指す製造業者は、計画プロセスの初期段階で「設計段階からのセキュリティ（Security by Design）」の原則を採用し、設計・実装・展開の各段階を含むデバイスおよびシステム開発ライフサイクルの全段階で堅牢なセキュリティ対策の統合を重視しなければならない。IoTインフラの保護に加え、製造業者はIoTデバイスが生成しAIシステムが処理する膨大なデータの保護にも直面している。このデータには重要な運用情報が含まれることが多く、侵害されれば重大な影響を及ぼす可能性がある。 製造業者は、保存時および転送時のデータ保護のため、暗号化、アクセス制御、継続的監視を含む包括的なセキュリティ対策を実施しなければならない。

さらに、メーカーのAIシステム自体（自社開発か買収かを問わず）は、データポイズニングやモデル窃盗といった特定の脅威に対して脆弱である。 データポイズニングとは、攻撃者がAIシステムに虚偽または悪意のあるデータを投入し、分析結果を歪めて誤った結論や行動を引き起こす攻撃手法である。例えば、改ざんされたデータにより、AI駆動のIoT予知保全システムが重大な問題を検知できず、機器故障を招く可能性がある。モデル窃盗は、攻撃者がAIモデルを盗み出すことで発生し、これにより攻撃者は独自の製造プロセスに関する知見を得て、その複製や特定された弱点の悪用を企てる可能性がある。

ベンダー管理プロセス。第三者ベンダーの利用は、製造業務に重大なサイバーセキュリティ上の脆弱性をもたらす可能性があります。現代のサプライチェーンは相互に接続されているため、単一のベンダーが侵害されると広範囲な影響が生じ、ネットワーク内の複数の組織に波及する恐れがあります。製造業者が様々な部品、サービス、技術において第三者ベンダーへの依存度を高める中、こうしたリスクを軽減するためには、強固なベンダー管理プロセスの導入が不可欠となっています。

ベンダー管理における重要な側面は、選定とオンボーディングプロセスである。潜在的なベンダーが厳格なサイバーセキュリティ基準を満たしていることを保証するためには、徹底的なデューデリジェンスの実施が不可欠である。このデューデリジェンスには、少なくとも以下を含めるべきである：

• サイバーセキュリティ態勢評価：ベンダーの現行サイバーセキュリティ対策（暗号化技術の利用、アクセス制御、インシデント対応手順を含む）を評価する。
• 規制コンプライアンス：ベンダーがISO/IEC 27001、NIST、GDPRなどの関連業界規制および基準を遵守していることを保証する。
• セキュリティインシデントの履歴：ベンダーのデータ漏洩やセキュリティインシデントの履歴を確認し、そのような事象への対応における信頼性と対応力を評価する。

さらに、サイバーセキュリティに関する期待値の確立と実施、責任範囲の明確化、および違反時の結果を規定するためには、明確な契約上の合意が不可欠である。契約では、ベンダーが暗号化手法、アクセス制御措置、データ保護方針を含む定義された基準とプロトコルを遵守することを具体的に義務付けるべきである。製造元とベンダーの間で責任を明確に割り当て、様々なサイバーセキュリティ対策の実施と維持について誰が責任を負うかを明記しなければならない。 違反に対する明確な罰則または是正措置（金銭的罰則、契約解除、強制的な是正努力など）も盛り込むべきである。加えて、これらの契約では、サイバーセキュリティ基準への継続的な遵守を確保するため、定期的な監査、侵入テスト、コンプライアンスチェックなどの定期的なセキュリティ評価を義務付ける必要がある。迅速な対応と緩和策を可能にし、ベンダー関係全体を通じて透明性と説明責任を維持するため、明確なタイムラインを定めたタイムリーなインシデント報告手順を確立しなければならない。

ベンダー管理はオンボーディングを超えて、リスクを効果的に管理するための継続的な監視と評価を包含しなければならない。潜在的なサイバーセキュリティ脅威を特定・評価するため、全社レベルおよび特定製品・サービスに関するレベルを含むあらゆるレベルで継続的なリスク評価を実施すべきである。製造業者はセキュリティ評価や自動化された質問票を活用し、ベンダーのサイバーセキュリティ態勢を継続的に監視できる。これらのツールはベンダーのセキュリティ状況をリアルタイムで把握し、新たなリスクを迅速に特定するのに役立つ。

多数のベンダーを管理することは大きな課題をもたらします。 多数のベンダーに対応するためベンダー管理プロセスを拡張するには、サードパーティリスク管理ソフトウェアなどの技術ソリューションを活用し、これらのプロセスを自動化・効率化してベンダーの監視と評価を効率的に行う必要があります。ベンダーとの強力なコミュニケーションと協業の促進も極めて重要です。製造業者はベストプラクティスやサイバーセキュリティ情報を共有し、ベンダーと定期的にセキュリティ対策の見直しを実施すべきです。この協業アプローチにより、双方が強固なサイバーセキュリティ防御を維持するための取り組みを一致させることができます。

ベンダー管理プロセスは、進化するサイバーセキュリティ脅威の状況にも適応し、迅速に対応できるものでなければならない。セキュリティ要件の定期的な更新と、新たな種類のサイバー脅威への柔軟な対応が不可欠である。製造メーカーは、機敏かつ積極的なアプローチを維持することで、サードパーティベンダーを通じて導入される脆弱性から自社の業務をより効果的に保護できる。

レガシーシステムへの依存の継続。レガシーシステムは、アップグレードや更新に伴う高コストや、継続的な業務における重要な役割など、いくつかの要因により製造業で広く普及している。多くの製造業者が古い技術に依存し続けるのは当然であり、これらのシステムは生産プロセスに深く統合され、長年にわたり信頼性が実証されているためである。しかし、レガシーシステムの継続的な使用は重大なサイバーセキュリティリスクをもたらす。

レガシーシステムは、堅牢なセキュリティプロトコルを欠いており、ソフトウェアが古いためサイバー攻撃に対して脆弱である。これらのシステムは通常、ベンダーからの定期的な更新やサポートを受けないため、既知の脆弱性に晒された状態が続く。さらに、現代のサイバーセキュリティツールとの互換性がないことがリスクをさらに悪化させる。効果的な保護対策を実施することが困難になるためである。

レガシーシステムがもたらす主要な課題の一つは、修正されていないセキュリティ上の欠陥の存在である。これらの欠陥は広く知られており、サイバー犯罪者によって頻繁に悪用されるため、レガシーシステムは攻撃の標的となる。ベンダーが旧製品のサポートを段階的に終了するにつれ、製造施設は既知の脆弱性を抱えながらも、それらを保護する手段を持たないシステムを抱え込むことになる。このサポートとセキュリティ更新の欠如は、サイバーインシデントのリスクを著しく高める。

レガシーシステムと最新技術の統合にも重大な困難が伴う。これらのシステムは新しいデジタルツールとシームレスに連携しないことが多く、運用効率の低下やサイバーセキュリティリスクの増大を招く。統合不能はセキュリティ対策の隙間を生み、攻撃者が弱点を悪用しやすくする。

レガシーシステムに関連するリスクを軽減するため、製造業者は定期的なリスク評価を実施し、脆弱性を特定して優先順位を付けるべきである。また、潜在的な侵害を封じ込め、サイバー攻撃の拡散を制限するため、レガシーシステムをネットワークの他の部分から分離・隔離することも検討すべきである。

レガシーシステムの仮想化やカプセル化技術の利用も、システム機能を維持しつつセキュリティを強化できる。より安全な環境でレガシーシステムを稼働させることで、製造業者はこれらの重要資産をサイバー脅威からより効果的に保護できる。さらに、レガシーシステムの段階的な近代化に向けた包括的な計画策定が不可欠である。この計画には、アップグレード予算の確保、適切な代替システムの選定、新技術に関する従業員トレーニングを含め、円滑な移行を保証すべきである。

限られたROI可視性によるサイバーセキュリティ投資不足。取締役会では、サイバーセキュリティを戦略的投資ではなくコストセンターと見なす傾向がある。この見方は、サイバーセキュリティ施策に十分な予算を割り当てることに消極的になることが多い。サイバーセキュリティ投資のROI（投資利益率）を定量化することの固有の難しさがこの問題を悪化させている。なぜなら、こうした投資の利益はしばしば無形であるからだ。サイバーセキュリティ投資は直接的な収益を生み出すのではなく、主に潜在的な損失を回避するため、その価値を実証することが困難である。

サイバーセキュリティ投資の明確なROI（投資利益率）を実証することが困難なため、重要なセキュリティ対策への投資不足が生じがちである。この投資不足により、製造業の業務は様々なサイバー脅威に対して脆弱な状態に置かれ、前述のように、組織の財務的健全性だけでなく市場における競争力にも影響を及ぼすなど、広範な結果を招きかねない。

限られたROI可視化という課題を克服するには、視点の転換が必要である。組織はサイバーセキュリティを単なるコストではなく、資産を保護し事業継続を確保する戦略的投資と捉えるべきだ。サイバーセキュリティを全体的な事業戦略の不可欠な要素として再定義することで、製造業者は必要なリソースの正当性と配分をより適切に説明できる。

効果的なアプローチの一つは、サイバーセキュリティ投資の価値を評価し伝達するために、サイバーセキュリティフレームワークやベンチマークを採用することである。ISO27001やNISTサイバーセキュリティフレームワークなどの基準に準拠することで、セキュリティ態勢の改善を評価するための体系的な方法論が得られる。これらのフレームワークは測定可能な指標を提供し、サイバーセキュリティ対策の効果を実証するために活用できるため、ROIの定量化と伝達が容易になる。

サイバーセキュリティを組織の広範なリスク管理戦略に統合することも極めて重要です。サイバーセキュリティ対策の実施前後におけるサイバーインシデントの潜在的な財務的影響を評価することで、組織はROI（投資対効果）をより明確に示すことができます。このアプローチでは、ダウンタイム、復旧費用、評判の毀損など、潜在的な侵害に関連するコストを算出し、堅牢なサイバーセキュリティ対策の実施コストと比較します。

高度な分析技術と人工知能は、サイバーセキュリティ対策の効果を定量化する上でさらなる支援が可能です。これらの技術により、サイバーセキュリティ対策のリアルタイム監視と分析が可能となり、脅威の動向、セキュリティプロトコルの有効性、改善が必要な領域に関する知見が得られます。このデータ駆動型アプローチは、サイバーセキュリティ投資のROI（投資対効果）に対する可視性を高め、適切な資金調達のためのより強固なビジネスケース構築を支援します。

来週は、サイバーセキュリティシリーズの第2回として、サイバー攻撃により製造業者が直面する法的影響と潜在的な責任を検証するとともに、製造業者がこれらのリスクをさらに軽減・管理し、サイバーセキュリティ防御を強化するための実践的な提言を提供します。

2024年製造マニュアル

急速に進化する製造業の環境をナビゲートする中で、デジタル変革からサプライチェーンのレジリエンス、AIの普及に至るまで、変化のペースはかつてないほど加速しています。Foleyの2024年版製造業マニュアルでは、多様な専門分野と視点を持つ執筆陣が毎週記事を掲載し、製造業の法的環境を包括的な「エンドツーエンド」分析で提供します。 私たちの使命は、製造業者が自信と機敏さをもって急速に変化する世界を乗り切るための知識、洞察、法的戦略を提供し、繁栄を支えることです。この製造業マニュアルが、成長・革新・成功に向けた新たな機会を開く一助となることを願っております。

[1]「Security Navigator 2024」参照、Orange Cyberdefense、2024年、www.orangecyberdefense.com/global/security-navigatorからダウンロード可能

[2]「製造業におけるランサムウェアの現状 2024」参照、ソフォス、2024年5月、www.sophos.com/en-us/whitepaper/state-of-ransomware-in-manufacturing-and-productionからダウンロード可能

[3]デロイト「年次グローバルサイバー脅威インテリジェンスレポート」（2024年3月）参照。ダウンロードはこちら：https://www2.deloitte.com/us/en/pages/risk/articles/cybersecurity-threat-trends-report-2024.html

[4]「製造業におけるランサムウェアの現状 2024」参照、Sophos、2024年5月、www.sophos.com/en-us/whitepaper/state-of-ransomware-in-manufacturing-and-productionからダウンロード可能

[5] 同上参照。

[6] 同上参照。