インダストリー4.0時代のサイバーセキュリティ - パート1

製造業がインダストリー4.0として知られるスマート・マニュファクチャリングのハイパーコネクテッド時代を受け入れ続ける中、より多くの組織が高度な自動化、人工知能（AI）、モノのインターネット（IoT）、その他の最先端のイノベーションを業務に統合している。この変革は、前例のないレベルの効率性、生産の最適化、イノベーションを約束する。しかし、このような進歩に伴い、サイバーセキュリティのリスクも大幅に増加している。世界経済にとって極めて重要な製造業は、業務を混乱させ、機密データを漏洩させ、多大な財務的・評判的損害をもたらす複雑な脅威に直面し続けている。

全体として、製造業のサイバーセキュリティリスクは上昇を続けている。2023年、同部門は主要産業の中でサイバー攻撃のシェアが最も高く、2022年から42%増加した。この傾向は2024年になっても続いており、製造業組織の65%がランサムウェア攻撃の被害にあっており、2023年の56%、2022年の55%から急増している[1]。[ [3]こうした憂慮すべき傾向は、製造業環境に特有の脆弱性に合わせた強固なサイバーセキュリティ戦略の緊急の必要性を強調している。

製造業が直面する潜在的サイバーセキュリティリスク

製造業は、世界経済におけるその重要な役割、基幹産業やサプライチェーンを混乱させる可能性、そして同部門の組織が保有する膨大な量の機密データにより、サイバー犯罪者の格好の標的であり続けています。製造業が直面するサイバーセキュリティリスクは、ランサムウェアを含むマルウェア攻撃、ソーシャルエンジニアリング攻撃、高度持続的脅威（APT）に大別される。知的財産の盗難リスク、サプライチェーンの混乱、産業制御システム（ICS）への攻撃など、この分野特有の脆弱性を考えると、これらの脅威は特に懸念される。サイバー攻撃は、ビジネスやサプライチェーンを混乱させ、デジタル化のメリットを損ない、経済的・生産的に大きな損失をもたらすだけでなく、風評被害にもつながる可能性がある。

ウイルス、ワーム、スパイウェアを含む悪意のあるソフトウェアの配備を伴うマルウェア攻撃の一形態であるランサムウェア攻撃は、製造業者にとって唯一最大の脅威であり続けている。マルウェアはシステムに侵入し、損害を与え、混乱させるように設計されているため、デジタル環境では手強い敵となっている。しかし、ランサムウェアによる攻撃は、製造業全体を麻痺させ、財政的、業務的、風評的に大きなダメージを与える可能性があります。

ランサムウェア攻撃は一般的に、被害者のデータを暗号化してアクセス不能にし、機密情報の流出を伴うことが多い。2024年には、製造業者に対するランサムウェア攻撃の4件中3件がデータの暗号化をもたらし、これらの攻撃の32%ではデータの流出も発生しています[4]。攻撃者はその後、身代金の支払いを要求し、通常は暗号通貨の形で、身元と居場所を隠す役割を果たします。

ランサムウェアのようなマルウェア攻撃が製造業に集中し、増加し続けている背景には、製造業を有利な標的としているいくつかのユニークな要因があります。重要な要因の1つは、製造業がグローバルなサプライチェーンにおいて重要な役割を果たしていることです。攻撃者は、製造業の操業が中断すれば、複数の業界に影響を及ぼし、波及効果をもたらす可能性があることを認識している。さらに、製造企業はジャスト・イン・タイム契約、高い稼働率、失われた生産時間を埋め合わせることができないことなどから、ダウンタイムに対する許容度が非常に低いのが一般的です。その結果、このような要因によって、製造業者に対する迅速な業務復旧のプレッシャーが大幅に高まり、身代金要求の支払いに踏み切る動機となっている。

例えて言えば、製造業はエネルギー、石油/ガス、公益事業と並んで、データ復元のための身代金の支払いがバックアップ経由の復元よりも一般的な2つしかないセクターの1つである[5]。ランサムウェア攻撃後、ほぼすべての製造業者が暗号化されたデータを復元できる一方で、バックアップを使用して暗号化されたデータを復元できたのは58%にとどまり、62%はデータを復号するために身代金の支払いを余儀なくされた（2023年に報告された支払い率のほぼ2倍）[6]。

しかし、最終的にデータが復元されるかどうかにかかわらず、重要なデータを暗号化することで、ランサムウェアは製造プロセスを効果的に停止させる可能性がある。業務データにアクセスできないことで、生産スケジュールが遅れ、製品の品質が損なわれ、納期が遅れる可能性がある。金銭的な影響は深刻で、身代金の支払いやシステムの復旧にかかる直接的なコストだけでなく、業務のダウンタイムやビジネス機会の損失といった長期的な影響も含まれる。さらに、このような侵害に起因する風評被害は、顧客の信頼と市場での地位を損ない、財務的影響をさらに悪化させる可能性がある。

AIの進歩が次の産業革命を推進する中でも、サイバー犯罪者は、ジェネレーティブAIを活用して新しいマルウェア・コードを記述し、より強力な暗号化アルゴリズムを開発し、メーカーの情報システムの潜在的な脆弱性を特定することで、マルウェア開発の自動化と規模拡大を進めています。

人間の脆弱性を悪用するソーシャル・エンジニアリング攻撃は、攻撃者がランサムウェアやその他の悪意のある活動を展開するための入り口となることが多い。サイバーセキュリティにおける人的要因は、しばしば最も弱いリンクであるという現実がある。このような攻撃は、技術的な欠陥よりもむしろ人間の弱点を悪用してシステムやデータに不正アクセスし、機密情報の窃取やより巧妙なランサムウェア攻撃を可能にします。

ソーシャル・エンジニアリングの手口は多様かつ巧妙である。フィッシングはよく知られたソーシャルエンジニアリングの一種で、攻撃者は個人を騙して機密情報を開示させたり、悪意のあるリンクをクリックさせたりするように設計された詐欺的なメッセージを送信します。スピアフィッシングは、より標的を絞ったもので、特定の個人や企業を狙います。多くの場合、ソーシャルメディアやその他のソースから収集した情報を使用して、説得力のあるパーソナライズされた攻撃を行います。おとり攻撃は、無料プレゼントの提供など、虚偽の約束でユーザーを誘惑し、ある行動を実行させるものです。一方、口実攻撃は、被害者を操作してアクセスや情報を提供させるために、でっち上げのシナリオを作成するものです。

ジェネレーティブAIは、ソーシャル・エンジニアリング攻撃の効果も大幅に高めている。攻撃者は現在、AIを活用して、個人の心理的傾向をターゲットに、高度にパーソナライズされた説得力のあるメッセージを作成している。例えば、AIが生成したフィッシングメールは、同僚や上司、会社の重役の文体を模倣することができるため、被害者がメッセージを信頼し、その要求に従う可能性が高くなる。同様に、AIを使ってソーシャルメディアのプロフィールから膨大な量のデータを収集・分析することで、攻撃者は詐欺の口実を詳細かつ信憑性の高いものにすることができる。

Advanced Persistent Threats（高度な持続的脅威 ）は、多くの場合、製造業のような高価値の業界を標的とする高度で組織的な攻撃です。このような攻撃は、機密情報の窃取や重要インフラの破壊を目的として、多大なリソースを持つ高度なスキルを持ったグループによって実行されます。製造業では、APTは、独自の生産技術、製品設計、研究開発データ、戦略的ビジネス文書など、貴重な知的財産（IP）を標的とすることが多い。このような専有情報の窃取は、その価値の高さから攻撃者にとって特に切望されるものであり、窃取の影響は計り知れず、潜在的な市場シェアの損失、競争優位性の低下、経済的な大きな影響につながる可能性があります。

APTは、知的財産の窃取だけでなく、重大な操業中断を引き起こすことで、製造業に大きな脅威をもたらします。製造業者のネットワークへの不正アクセスが長期化すると、攻撃者は産業用制御システムを操作したり、生産プロセスを混乱させたり、あるいは機器を破壊したりすることさえ可能になります。たとえば、2010 年に発生した Stuxnet 攻撃は、APT によって攻撃者が産業用制御システムを制御できるようになり、広範な操業被害につながることを実証しました。

さらに、APTは相互接続されたネットワークの脆弱性を悪用することで、サプライチェーンを侵害する可能性がある。多くの場合、攻撃者はサイバーセキュリティ対策があまり強固でない単一のサプライヤーを通じて侵入し、製造サプライチェーンの下流に遠大な影響を及ぼす可能性がある。2020年に発生したソーラーウィンズ社の攻撃は、その顕著な例であり、1つのサプライヤーのシステム侵害が、世界中の複数の業界や組織に甚大な影響を及ぼした。

インダストリー4.0テクノロジーの導入に伴うサイバーセキュリティリスクの特定と軽減

AIとモノのインターネットAIとモノのインターネットは、製造業におけるデジタル変革の最前線にあり、スマート工場の進化とインダストリー4.0という広範な概念を推進している。機械、センサー、システムの連携を通じて製造環境内の接続性を高めることで、IoTデバイスは膨大な量のデータを生成する。AIはこのデータを活用して高度な分析を行い、ワークフローを最適化し、複雑なプロセスを自動化する。例えば、予知保全では、AIアルゴリズムを使ってIoTセンサーからのデータを分析し、機器の潜在的な故障を事前に特定し、メンテナンスをスケジューリングして計画外のダウンタイムを防止する。リアルタイム・モニタリングにより、製造業者は生産指標を継続的に追跡することができ、即座の調整や改善が可能になる。AIとIoTのパワーを活用することで、メーカーはオペレーションを最適化し、ダウンタイムを削減し、全体的な効率を向上させることができる。

しかし、IoTデバイスの統合は攻撃対象領域を拡大し、サイバー攻撃者にとってより多くの侵入口を提供することにもなる。多くのIoTデバイスは、セキュリティよりも機能や相互運用性に重点を置いて設計されているため、悪用されやすい。より広範なシステム内のIoTデバイスに関連する特定の脆弱性には、安全でない接続や強固なセキュリティ・プロトコルの欠如などがある。攻撃者はこれらの弱点を悪用して、製造ネットワークへの不正アクセスや、業務の妨害、機密データの窃取を行う可能性がある。IoTインフラの拡張を検討している製造業者は、計画プロセスの早い段階でSecurity by Designの原則を採用し、設計、実装、導入段階を含むデバイスとシステム開発のライフサイクルの各段階で、堅牢なセキュリティ対策の統合を重視する必要があります。IoTインフラストラクチャのセキュリティ確保に加え、メーカーは、IoTデバイスが生成し、AIシステムが処理する膨大な量のデータ、多くの場合、侵害された場合、重大な影響を及ぼす可能性のある重要な業務情報を含むデータのセキュリティ確保という課題にも直面している。製造業者は、暗号化、アクセス制御、継続的な監視など、静止時と転送時の両方でデータを保護する包括的なセキュリティ対策を実施する必要がある。

さらに、メーカーのAIシステム自体も（開発したものであれ買収したものであれ）、データポイズニングやモデル盗用といった特定の脅威に対して脆弱である。データポイズニングとは、攻撃者が偽のデータや悪意のあるデータをAIシステムに送り込み、分析を歪めて誤った結論や行動を導くことである。例えば、操作されたデータにより、AI主導のIoT予知保全システムが重要な問題を見落とし、機器の故障につながる可能性がある。モデルの窃盗は、攻撃者がAIモデルを盗み出し、独自の製造プロセスに関する洞察を得て、それを複製したり、特定された弱点を悪用したりする可能性がある場合に発生する。

ベンダー管理プロセス。サードパーティ・ベンダーの利用は、製造業務に重大なサイバーセキュリティの脆弱性をもたらす可能性がある。現代のサプライチェーンは相互につながっているため、1つのベンダーが侵害されると、広範囲なネットワーク内の複数の事業体に影響を及ぼす可能性があります。製造業者がさまざまなコンポーネント、サービス、テクノロジをサードパーティ・ベンダーに依存する傾向が強まる中、こうしたリスクを軽減するために堅牢なベンダー管理プロセスを導入することが不可欠になっています。

ベンダー管理の重要な側面は、選定とオンボーディングのプロセスです。ベンダー候補が厳格なサイバーセキュリティ基準を満たしていることを確認するためには、徹底的なデューデリジェンスを実施することが不可欠です。このデューデリジェンスには、最低限、以下の項目を含める必要があります：

• サイバーセキュリティ態勢の評価：暗号化の使用、アクセス制御、インシデント対応プロトコルなど、ベンダーの現在のサイバーセキュリティ対策を評価する。
• 規制コンプライアンス：ISO/IEC 27001、NIST、GDPRなど、関連する業界規制や標準にベンダーが準拠していることを確認する。
• セキュリティ・インシデントの履歴：ベンダーのデータ漏洩やセキュリティ・インシデントの履歴を確認し、そのような事象への対応における信頼性と対応力を評価する。

さらに、サイバーセキュリティに対する期待を確立し、実施し、責任を明確にし、違反した場合の結果を規定するためには、明確な契約合意が不可欠です。契約では、ベンダーが暗号化の実践、アクセス制御対策、データ保護ポリシーなど、定義された標準やプロトコルを遵守することを具体的に義務付ける必要があります。製造業者とベンダーの間で責任を明確に分担し、さまざまなサイバーセキュリティ対策の実施と維持について誰が責任を負うかを概説する必要がある。また、コンプライアンス違反に対する罰則や是正措置（金銭的な罰則、契約の解除、是正努力の義務付けなど）も明示する必要があります。さらに、これらの契約では、サイバーセキュリティ基準の継続的な遵守を確保するために、定期的な監査、侵入テスト、コンプライアンスチェックなどの定期的なセキュリティ評価を義務付ける必要がある。ベンダーとの関係全体を通じて透明性と説明責任を維持するために、迅速な対応と緩和努力を可能にする明確なタイムラインによるタイムリーなインシデント報告手順を確立する必要があります。

ベンダー管理は、オンボーディングにとどまらず、リスクを効果的に管理するための継続的な監視と評価も含める必要がある。潜在的なサイバーセキュリティの脅威を特定し評価するために、全社的なリスク評価や特定の製品／サービスに関するリスク評価など、あらゆるレベルで継続的なリスク評価を実施する必要がある。製造業者は、ベンダーのサイバーセキュリティ態勢を継続的に監視するために、セキュリティ格付けや自動化された質問票を活用することができる。これらのツールは、ベンダーのセキュリティ状況をリアルタイムで把握し、新たなリスクを迅速に特定するのに役立ちます。

多数のベンダーを管理することは、大きな課題となる。多数のベンダーに対応するためにベンダー管理プロセスを拡大するには、これらのプロセスを自動化・合理化し、ベンダーの効率的な監視と評価を可能にするサードパーティ・リスク管理ソフトウェアなどのテクノロジー・ソリューションの利用が必要である。ベンダーとの強力なコミュニケーションと協力関係の醸成も極めて重要である。メーカーは、ベストプラクティス、サイバーセキュリティインテリジェンスを共有し、ベンダーとセキュリティ対策の定期的なレビューを行うべきである。このような協力的なアプローチにより、強固なサイバーセキュリティ防御を維持するための取り組みにおいて、両者の足並みが揃うことになります。

また、ベンダー管理プロセスは、進化するサイバーセキュリティの脅威の状況に適応し、対応できなければならない。セキュリティ要件の定期的な更新と、新しいタイプのサイバー脅威への柔軟な対応が不可欠である。機敏かつ積極的なアプローチを維持することで、製造業者はサードパーティ・ベンダーを通じて侵入する脆弱性から自社の業務をより適切に保護することができる。

長引くレガシー・システムへの依存。レガシーシステムが製造業に広く普及しているのは、これらのシステムのアップグレードやリプレースに伴う高いコストや、継続的なオペレーションにおいて重要な役割を担っていることなど、いくつかの要因がある。多くの製造業者は、これらのシステムが生産プロセスに深く統合されており、長期にわたって信頼性が実証されているため、当然のことながら古いテクノロジーに依存し続けている。しかし、レガシーシステムの継続的な使用は、重大なサイバーセキュリティ・リスクをもたらします。

レガシー・システムは、堅牢なセキュリティ・プロトコルを備えていないことが多く、ソフトウェアが古いためにサイバー攻撃を受けやすい。これらのシステムは通常、ベンダーから定期的なアップデートやサポートを受けておらず、既知の脆弱性にさらされている。さらに、最新のサイバーセキュリティ・ツールと互換性がないため、効果的な防御策を講じることが難しくなり、リスクがさらに悪化する。

レガシーシステムがもたらす主な課題の一つは、パッチが適用されていないセキュリティ上の欠陥の存在である。これらの欠陥は十分に文書化されており、サイバー犯罪者によって頻繁に悪用されるため、レガシーシステムは攻撃の標的となっている。ベンダーが古い製品のサポートを段階的に終了していくにつれて、製造施設には、既知の脆弱性がありながらセキュリティーを確保する手段がないシステムが残されることになる。このようなサポートやセキュリティアップデートの欠如は、サイバーインシデントのリスクを大幅に増大させる。

レガシーシステムを最新のテクノロジーと統合することも、大きな困難を伴う。これらのシステムは、新しいデジタルツールとシームレスに相互運用できないことが多く、運用の非効率性とサイバーセキュリティリスクの増大につながる。統合できないことで、セキュリティの適用範囲にギャップが生じ、攻撃者が弱点を突くことが容易になります。

レガシーシステムに関連するリスクを軽減するために、メーカーは定期的なリスクアセスメントを実施し、脆弱性の特定と優先順位付けを行うべきである。メーカーはまた、潜在的な侵害を封じ込め、サイバー攻撃の拡散を制限するために、レガシーシステムを他のネットワークからセグメント化して隔離することを検討すべきである。

レガシーシステムを仮想化したり、カプセル化技術を使用することで、システムの機能を維持しながらセキュリティを強化することもできる。レガシーシステムをより安全な環境で稼働させることで、メーカーはこれらの重要な資産をサイバー脅威からより適切に保護することができる。さらに、レガシーシステムを段階的に近代化するための包括的な計画を策定することも極めて重要である。この計画には、アップグレードのための予算、適切な代替品の特定、スムーズな移行を確実にするための新技術に関するスタッフのトレーニングなどが含まれるべきである。

サイバーセキュリティへの投資の欠如は、ROIの可視性が限られていることに起因する。取締役会の内部では、サイバーセキュリティを戦略的投資ではなくコストセンターとみなす傾向がある。このような見方は、サイバーセキュリティの取り組みに十分な予算を割り当てることに消極的になりがちです。サイバーセキュリティの投資収益率（ROI）を定量化することは本質的に困難であるため、このような投資のメリットは多くの場合無形であり、この問題をさらに悪化させます。サイバーセキュリティ投資は、直接的な収益を生み出す代わりに、主に潜在的な損失を回避するものであるため、その価値を実証することは困難です。

サイバーセキュリティ投資に対する明確な ROI を示すことが困難なため、重要なセキュリティ対策への投資が過小になりがちです。この投資不足により、製造業はさまざまなサイバー脅威にさらされやすくなり、上述のように、組織の財務的健全性だけでなく、市場での競争力にも影響を及ぼすなど、広範囲に及ぶ結果を招く可能性があります。

ROIの可視性が低いという課題を克服するには、視点の転換が必要である。組織は、サイバーセキュリティを単なるコストとしてではなく、資産を保護し事業継続性を確保するための戦略的投資として捉える必要がある。サイバーセキュリティを全体的なビジネス戦略の不可欠な一部として捉え直すことで、メーカーは必要なリソースをより適切に正当化し、割り当てることができます。

効果的なアプローチの 1 つは、サイバーセキュリティのフレームワークやベンチマークを採用して、サイバーセキュリティ投資の価値を評価し、伝えることです。ISO27001 や NIST サイバーセキュリティ・フレームワークなどの標準に準拠することで、セキュリティ態勢の改善を評価するための構造化された手法が提供されます。これらのフレームワークは、サイバーセキュリティ対策の効果を実証するために活用できる測定可能な指標を提供し、ROI の定量化と伝達を容易にします。

また、サイバーセキュリティを組織の広範なリスク管理戦略に統合することも極めて重要である。サイバーセキュリティへの介入を実施する前と実施した後で、サイバーインシデントによる潜在的な財務的影響を評価することで、組織は ROI をより明確に把握することができます。このアプローチでは、ダウンタイム、復旧費用、風評被害など、潜在的な侵害に関連するコストを計算し、強固なサイバーセキュリティ対策を実施するためのコストと比較します。

高度なアナリティクスと人工知能は、サイバーセキュリティ対策の効果を定量化する上でさらに役立ちます。これらのテクノロジーは、サイバーセキュリティ対策のリアルタイム監視と分析を可能にし、脅威の傾向、セキュリティ・プロトコルの有効性、改善が必要な領域に関する洞察を提供します。このようなデータ主導のアプローチにより、サイバーセキュリティ投資のROIが可視化され、適切な資金を提供するためのビジネスケースをより強固なものにすることができます。

来週は、サイバーセキュリティ・シリーズの第2回目として、サイバー攻撃によって製造業者が直面する法的な影響と潜在的な責任を検証するとともに、製造業者がこれらのリスクをさらに軽減・管理し、サイバーセキュリティの防御を強化するのに役立つ実用的な推奨事項を紹介する。

2024 製造マニュアル

急速に進化する製造業の状況をナビゲートする中で、デジタル・ディスラプションからサプライチェーンの回復力、AIの偏在に至るまで、変化のペースはかつてないほど速くなっています。フォーリーの「2024年製造業マニュアル」では、多様な実務や視点からの執筆陣が、製造業の法的状況を「エンド・ツー・エンド」で包括的に分析する記事を毎週発表します。私たちの情熱は、製造業の皆様が成功するために必要な知識、洞察、法的戦略を提供することにより、急速に変化する世界を自信と敏捷性をもって乗り切ることができるようにすることです。この「マニュファクチャリング・マニュアル」が、成長、革新、そして成功のための新たなチャンスを開く一助となることを願っています。

[1]「セキュリティ・ナビゲーター2024」（Orange Cyberdefense, 2024）を参照。www.orangecyberdefense.com/global/security-navigatorからダウンロード可能。

[2]「製造・生産におけるランサムウェアの現状2024」（ソフォス、2024年5月、www.sophos.com/en-us/whitepaper/state-of-ransomware-in-manufacturing-and-productionからダウンロード可能）を参照。

[3]「Annual Global Cyber Threat Intelligence Report」（デロイト、2024年3月）参照。https://www2.deloitte.com/us/en/pages/risk/articles/cybersecurity-threat-trends-report-2024.htmlからダウンロード可能。

[4]「製造・生産におけるランサムウェアの現状2024」（ソフォス、2024年5月、www.sophos.com/en-us/whitepaper/state-of-ransomware-in-manufacturing-and-production）参照。

[5] 参照。

[6] 参照。