製造業における情報セキュリティ:テクノロジーではなくマネジメントの課題 ブックマークが追加されました
ナレッジ
製造業における情報セキュリティ:テクノロジーではなくマネジメントの課題
クライシスマネジメントメールマガジン 第74号
製造業における情報セキュリティリスクは、製造業特有の事情を考えれば、マネジメントの課題であるといえる。リスクに立ち向かおうとしたとき、制限なくに取り組もうとすると、防衛線が長すぎて何から手を付けてよいか分からなくなってしまう。まずは「リスクに晒されているものは何か」を特定し、どのようなリスクがありうるかを識別し、それらを分析し、重要性・緊急性を評価する、というのが定法である。
目次
- 製造業の情報セキュリティリスク
- IT系の侵害:製造業に限らない情報セキュリティリスクと製造業ならではの風土
- 技術情報の窃取:製造業のサイバーリスクの特徴1
- 生産ラインの停止:製造業のサイバーリスクの特徴2
- テクノロジーの介在しない情報セキュリティリスク
製造業の情報セキュリティリスク
製造業における情報セキュリティリスクについて検索すれば、まず目に入るのは流行のテーマについての記事である。「OTネットワーク」、「ICS」、そして「IoTデバイス」などの話題が目に付くかもしれない。こうしたテクノロジーとそこに潜む脆弱性については、サイバーセキュリティに関する研究であれば、どのようなメカニズムでインシデントが起き得るかを知るために重要である。しかし、この種の知見は、実務的には必要になった時、スマートファクトリーの技術要素を採り入れる際に、改めて学べばよい各論であろう。
情報セキュリティに限らず、リスクに立ち向かおうとしたとき、制限なく取り組もうとすると、防衛線が長すぎて何から手を付けてよいか分からなくなってしまう。まずは「リスクに晒されているものは何か」を特定し、どのようなリスクがありうるかを識別し、それらを分析し、重要性・緊急性を評価する、というのが定法である。
IT系の侵害:製造業に限らない情報セキュリティリスクと製造業ならではの風土
リスクの評価は、通常、影響度と発生可能性を2軸に取ったマトリクス上にプロットすることで行う。発生可能性において高いのは、IT系の侵害である。自動化された脆弱性を探し回るツールによって、業種を問わず、規模を問わず、攻撃者によって弱点が発見されれば攻撃される。中小企業を対象にした実態調査において、対象全社において攻撃を検知している報告もあり、発生可能性において他のリスクと比べて圧倒的に優勢である。
インターネットに接している部分からいや応なしに攻撃が飛んでくるため、IT侵害は、あらゆる業界にとって共通の問題だが、製造業においては、その他の業界とは異なる特徴を持っている。まずは、脆弱性が残存してしまう風土に特徴がある。
伝統的に、製造業には「枯れた」手法やツールを信頼する傾向が強く、更新に慎重であることが多い。変化点管理という考え方が広く定着していることも一因かもしれない。確かに、工業化されたプロセスにおいては、堅牢な工程を確立し、環境を安定させて、リスクを変化の起きた箇所に局限するのが理に適っている。しかし、インターネットは、コントロールできない、悪意を持つ人間がうろついている環境である。情報セキュリティにおけるネットワーク機器やITシステム/ツールの管理の際には、ベンダーによって脆弱性が公表され注意喚起がなされたときには、しばしば既に攻撃は始まっており、そうでなくとも数日のうちには攻撃が急増する、といったスピード感で事態が進行するので、遅くとも数日の間には修正パッチを適用するなどの対応が必要になる。しかし、私自身も複数の製造業の会社で、修正パッチに関する社内での議論の膠着や保守契約の範囲に関するベンダーとのすれ違いなどが原因で、放置された事例を見聞きしている。
なお、有名なネットワークアプライアンスやITシステム/ツールであれば、それなりの頻度で脆弱性が発見され、攻撃に用いられている。かといって、無名、もしくはオーダーメイドであればよいかと言えば、その場合にも結局モジュール(部品)は広く知られているものである場合が多いので、状況はさして変わらず、むしろ修正パッチが遅れる可能性すらある。さらにモジュールもマイナーであったり、クローズドであったりする場合には、第三者から脆弱性情報を得る方法がなく、防衛がむしろ困難になってしまう。また一般的に、マイナーなシステム/ツールには、未発見な脆弱性が多数隠れていて、標的を定めた熟練した攻撃者に狙われれば、容易に支配されてしまいがちである。
技術情報の窃取:製造業のサイバーリスクの特徴1
リスクに晒されるデータについても、製造業におけるIT侵害のリスクは、その他の業界と比べて特徴的である。一般に、ランダムに盗れるものを盗るような攻撃によって奪われた情報は、情報そのものから価値を生み出すことは難しく、そのためランサムウェアに見られるように、可用性を奪ったり、公開すると脅したりすることで、身代金要求を通じたマネタイズを行うのが通例となっている。しかし、製造業の場合、技術情報や設計図、製造プロセスなど、情報そのものの価値が高い場合がしばしばある。これらの情報は、競争力を保つための重要な資産であり、それを窃取されることにより、場合によっては業界にとっての打撃となることもありうる。
ランサムウェア事案においては、身代金要求があって初めてサイバー攻撃に気づくことが少なくない。侵害の兆候はとらえても、社内調査によって被害なしと結論付けられた後、数か月の後に脅迫があって初めて被害の事実を知るような事例が後を絶たない。恐ろしいのは、前述のような情報そのものに価値がある場合、スパイまがいの目的を持ったサイバー攻撃であれば、最後まで被害者にサイバー攻撃の被害実態を知らせる必要はない。被害件数は増えているが、その陰にさらに多くの暗数が隠れている可能性がある。
生産ラインの停止:製造業のサイバーリスクの特徴2
また、可用性に対する攻撃、つまり、ITを使えなくされてしまう類のサイバー攻撃の影響についても考えてみたい。製造業の場合、こうしたIT侵害による影響は、生産ラインの停止のような、波及的で具体的な損害に直結する。たとえ直接生産設備の制御システムに対する侵害がなくても、ITが侵害されることで生産ラインが停止することがある。例えば、トレーサビリティが取れていない製品を出荷することはできないが、生産計画、材料や半製品の検収、製造差立、品質保証、入出庫、それらの重要な関所に設けられた承認までにまたがるトレーサビリティ情報は、多くの場合、ITシステム上で管理されている。入出庫の管理や材料の調達なども、ITシステムが停止した状態では、きわめて限られた業務しか行えない場合が多い。生産設備がIT系ネットワークに依存していなくとも、社外から工場を俯瞰的に見た「ものづくり」は、ITシステムに大きく依存しているのだ。大規模なIT侵害の際には、ITシステムを長期間にわたって停止させたまま操業しなくてはならない場合があるが、こうした縮退業務の期間を、内部統制を機能させた状態で乗り切るためには、昭和の知恵を掘り起こす必要さえ生じてしまう。
原因から影響まで、製造業におけるIT侵害の様々な側面から見た特徴を見てきた。ここからわかるのは、製造業における情報セキュリティ対策に必要なのは、情報セキュリティそのものに関する専門性よりもむしろ、現在の開発~製造工程や営業~入出庫のプロセスが、どこでどれだけITに依存しているか、そしてどのような冗長性を持たせるべきか、もしくは非常時の代替運用が可能か、という個別具体的な分析である。
テクノロジーの介在しない情報セキュリティリスク
IT侵害以外にも、情報セキュリティの重大脅威として、退職者による機密データの持ち出しなどもリスクの上位に数えられている。本稿の「技術情報の窃取」において言及したのと同じ理由で、この機密データの持ち出しも、しばしば製造業が舞台になる。
内部者による機密データの漏洩の形態は非常に多様で、国際技術交流を謳う公益性のある団体を装って攻撃者がターゲットの経営陣に接触するような大胆な事案もあれば、攻撃者がターゲットの間接部門に対して公開情報についての質疑をするところからはじめて徐々に秘密情報を漏らすように誘導するような巧妙な事案、転職者を唆して情報を盗み出させる事案、また、転職者自身が秘密情報を盗み出して転職先に恩を売ろうと企図して発生する事案もある。いずれにしても、テクノロジーのみでの対策には限界のある類型である。
こうしたリスクへの対策は、比較的IT寄りの軽減策として、「最小権限の原則」の遵守が挙げられる。業務上必要のある人のみが機密情報にアクセスできるようにするきめ細かなアクセス権限の割り当てを行い、特に、退職や異動やプロジェクトの終了等の際に、権限の適切な再割り当てを行うことが大切である。そして同時に同じくらい重要なのは、従業員が組織への恨みを募らせないような、公平で風通しの良い風土を醸成することである。動機が生まれなければ、そもそもこの種のリスクは顕在化しない。そして万が一、事件が発生してしまったときに適切な法的対応ができるよう、不正競争防止法の営業秘密の要件、秘密管理性を満たしておく必要もあるだろう。すなわち、営業秘密の定義とラベリングとアクセス制限、秘密情報の取扱いに関する従業員へのトレーニングや誓約書の取り交わしなどである。
おわりに
これまでに述べたように、製造業はいわば間接的に情報セキュリティと結びついている。そのため、製造業におけるセキュリティ戦略の策定は、この間接的なつながりを明らかにすることから始める必要がある。
全体に通底するのは、守るべきものは何か、を明確にする必要性である。それは、
- 操業を継続するために必要な情報、
- 自社もしくは取引先の営業秘密、
- 個人情報
を特定し、それらがどこにあり、だれの責任で管理しており、どのような保護や冗長性を持たせており、失われたり漏洩したりしたときにどのような影響があるかを、平時のうちに分析しておくことが重要である。テクノロジーはあくまで治具や容器や搬送機や測定器のようなものである。
また、セキュリティ対策は一度きりのものではなく、定期的な見直しと更新が必要である。少子高齢化によって今後ますます人員不足が進むと考えれば、DXによる生産性向上は避けて通れない。しかし、新たな技術は新たなリスクをももたらす。将来にわたって持続的な安全性を確保するためには、守るべきものを再定義するところから、リスクを識別し、個別に影響と実現可能性を分析し、必要なアクションを見定め、実行し、モニタリングする、というリスク管理全体にわたって、組織として習熟する必要があるだろう。
※本文中の意見や見解に関わる部分は私見であることをお断りする。
執筆者
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック & クライシスマネジメントサービス
横溝 道夫(ヴァイスプレジデント)
(2024.6.5)
※上記の社名・役職・内容等は、掲載日時点のものとなります。
不正・危機対応に関するナレッジやレポートなど、ビジネスに役立つ情報を発信しています。
不正・危機対応の最新記事・サービス紹介は以下からお進みください。
>> フォレンジック&クライシスマネジメント:トップページ <<
プロフェッショナル
