サイバー攻撃は年々激化、巧妙化し、実際に被害にあう企業も多くなっています。業種や規模に関係なく、どの企業も日々サイバー攻撃を受けていて、いつ実被害が発生してもおかしくありません。IPAが毎年発表する、企業が注意すべき「情報セキュリティ10大脅威」において、この2年間続けてトップ3に挙げられているのがランサムウエアによる被害、サプライチェーンの弱点を悪用した攻撃、そして標的型攻撃による機密情報の窃取です。ランサムウエアによる被害の届け出は、2022年度だけで230件発生し、前年度より51％増加しています。そして、これら損害を被った企業は、復旧するためにそれぞれ平均1カ月と5,000万円を要しています。公表された被害の届け出件数には必ずしも実際に発生しているすべての被害が含まれていないであろうと考えると、実際の被害件数はもっと多いと推察されます。ランサムウエアの被害にあうと、まずデータを暗号化して使用できない状態にした上で、攻撃者はデータを復号化するための金銭や暗号資産を要求してきます。さらに数年前から、窃取した情報を公開すると脅す二重脅迫を行うようになり、最近では、DDoS攻撃の予告や、被害企業の顧客に連絡するといった脅しを行う三重脅迫の新たな手口も確認され、年々悪質化しています。

サイバー攻撃や被害に関する業種別の調査結果を見ると、製造業の企業への攻撃件数、被害件数は、他業種に比べ最も多くなっています。なぜ製造業が狙われるのでしょうか。それは調査では説明されていませんが理由はいくつか推測することができます。先ず、製造業にはグローバルに多くの拠点を持つ企業が多く、中にはセキュリティ面のガバナンスが十分効かない拠点も存在することが考えられます。次に、生産過程においてIoT機器の利用も増えているため、それに比例して脅威に晒される確率が高まっていると想定できます。また、サイバー攻撃により工場が生産停止することによるインパクトは非常に大きく、一刻も早く生産を回復したいという心理に攻撃側がつけこみ、ものづくり企業を標的にしている可能性も考えられます。

図表：DX推進に伴い拡大するセキュリティリスク
(クリックして拡大できます)

今後、製造業においては、多くの企業がDXを推進し、加速していこうとしています。これまでも既に大きなリスクに晒されているものづくり企業ですが、DXを進めていくことでセキュリティ脅威は益々高まっていきます。例えば、リモートワークが常態化し、働き方改革で勤務形態の多様化が進むと、基幹システムにアクセスする端末や場所も多様化していきます。DXでクラウド・サービス利用が当たり前となっていくと、社外にあるPCやタブレット、サーバーなど守るべきポイントの種類と数は一気に増加していきます。
また、様々なクラウド・サービスの利用が増えると、クラウド・サービスごとのデータ・アクセス権限やアカウントの管理が複雑になり、重要情報がいとも簡単に社外に漏洩してしまうリスクが高まります。こうなると、現在多くの企業が行っている、社内と社外の境界線でのセキュリティ対策だけでは、激化するセキュリティ脅威は防御できません。

加えて、これからはものづくり企業にとっての代表的DXであるスマートファクトリー化が本格化していきます。これに伴い、設備に組み込まれたIoT機器、部材に添付されるIoTタグ、センサーやカメラなど、工場やプラント内のIoT機器が一気に増えていきます。従来、これらIoT機器は社内システムのみに接続が限定され、社外の攻撃からは隔離されていました。ところがスマートファクトリー化が進むとインターネットで社外と接続される機器が増えていき、それら機器の数だけ攻撃を受ける可能性が高まります。IoT機器の中にはセキュリティレベルが低いもの、基本的にセキュリティ・ツールをもたない簡単なものなどが含まれ、これまでのようにPCを対象としたセキュリティ対策は通じません。そもそも工場内の膨大な数のIoT機器を管理することすら難しくなっていき、サイバー攻撃に気付くことなく被害が拡大することもあるでしょう。一方、工場内のセキュリティ対策を運用していくのは製造現場の担当者であり、運用負担の大きいセキュリティ対策と生産活動の効率化の両立は容易ではありません。

DXが進展していくと社外のシステムと連携するケースも増えてきます。他社の工場や倉庫、技術部門とネットワークを介して直接つながっていくと、自社のポイントを介して他社へのサイバー攻撃が行われることも十分起こり得ます。最近の製造業におけるサーバー攻撃の特徴として、攻撃者はターゲットとする企業の関連会社や取引先の中で、セキュリティ対策が脆弱な企業を踏み台にして攻撃を仕掛け、ターゲット企業の機密情報を窃取し、金銭を脅し取ろうとするケースが増えています。攻撃者はサプライチェーンの中でもセキュリティレベルの低い企業を狙って侵入し、被害はサプライチェーン全体に拡大していきます。このため、サプライチェーン内の取引先や関連会社に対するセキュリティ監査事項を厳しくし、リスク評価を強化している企業例が多く聞かれるようになりました。セキュリティリスクが経営リスクとなった今、セキュリティ対策はビジネス条件となり、セキュリティが甘い企業は、当然取引を断られることになります。

サイバー攻撃は今後も増加の一途を辿ると予想されます。デジタル技術を活用することで企業は大きな価値を生み出すことができますが、同様にハッカーにとってもAI技術を利用することで、より簡単かつ巧妙な偽メールや悪性コードの自動生成が可能になっています。DXの推進の盛り上がりに比べてしまうと、どうしてもセキュリティ対策は地味な取組みとなります。デジタル技術の導入・活用に精いっぱいで、セキュリティ対策が後回しになっていては、サイバー攻撃を防ぎきれず、重大な事態に陥る危険性が高まります。セキュリティ無くしてDXの成功はあり得ません。DX推進に合わせてセキュリティ強化も同時に進めていくことを忘れないようにしたいものです。

2023年4月