近年、製造業においてサイバー攻撃による被害が増加しており、有効なセキュリティ対策の実施が求められています。本記事では主に製造業のIT担当者様向けに、製造業が抱えているセキュリティリスクや起こり得る被害、対策法について解説するとともに、役立つメールセキュリティサービスも紹介します。
製造業が抱えるセキュリティリスクとは
近年、製造業でサイバー攻撃被害が増加しています。2020年には、大手メーカーがサイバー攻撃を受けたことにより自社で保管していた顧客の個人情報や企業機密などが外部流出したことを公表しました。また、2022年には、自社の主要サプライヤーがサイバー攻撃を受けたことで製造に必要な部品の供給が止まり、国内全工場の稼働を停止せざるを得なくなった事例もあります。
IBMのセキュリティ研究機関であるX-Forceの発表した「X-Force脅威インテリジェンス・インデックス2022」は、2021年に日本国内で最もサイバー攻撃を受けた業界は製造業だと報告しています。
製造業におけるサイバー攻撃被害の増加は、工場のDX化やIoT活用によるセキュリティリスクの増大が要因になっています。従来、工場で使用される製造実行システム(MES)や生産管理システム(PMS)などは外部ネットワークから隔離された環境で運用されていました。そのため「工場にセキュリティ対策は必要ない」という考え方が浸透していましたが、この考え方はもはや通用しなくなりつつあります。
サイバー攻撃の経路は、WebサイトやWebアプリケーション、メールなど、さまざまです。例えばメールは、不正な第三者によってハッキングされたアカウントを悪用され、受信者のパスワードや個人情報を盗むフィッシング攻撃の手段になり得ます。もちろん、外部の脅威によるサイバー攻撃だけでなく、メールの誤送信やUSBメモリの紛失などにも十分に気をつける必要があります。これらのシステムは工場ではなく情報システム部門で管理されているケースがほとんどですが、これらを踏み台にして、工場のシステムにも攻撃を仕掛けてきます。
サイバー攻撃が起こると製造業界はどうなる?
製造業界がサイバー攻撃を受けると、業務の継続性や信頼性に大きな影響が出ます。また、ヒューマンエラーでも同じような事故が発生する可能性があります。
社内ツールにアクセスできなくなる
サイバー攻撃を受けると、生産管理システムや在庫管理システムといった業務で使用しているツールや自社で運営しているサイトのアカウントが乗っ取られてしまうことがあります。乗っ取られてアクセスができなくなると、通常の業務やサービスの提供を継続できなくなる恐れが生じます。
ライン停止などの影響が出る
サイバー攻撃を受けると、工場内のシステムが外部から操作されてしまったり、ロックされてしまったりすることがあります。その結果、製造を停止せざるを得なくなったり、手作業による製造を強いられたりする可能性があります。サイバー攻撃によってラインが停止し、納期に遅れたことで、多額の賠償金を請求されることもあります。
情報流出で大きな被害に繋がることも
サイバー攻撃を受けると、自社および取引先の技術情報や未発表情報、機密情報などが流出してしまうことがあります。自社の競争力低下や信用失墜につながるだけでなく、取引先にも被害が及んでしまうと、被害の規模によっては賠償金問題にもつながりかねません。情報流出はサイバー攻撃だけでなく、メールの誤送信などのヒューマンエラーによっても起こり得えます。
製造業が"今"できるセキュリティ対策
製造業において、サイバー攻撃やヒューマンエラーによる事故は業務の停止や個人情報漏えいなど深刻な影響をもたらします。
事故が起こってしまった際の対処だけでなく、未然に防ぐため、セキュリティガイドラインの策定、セキュリティサービスの導入、社員教育の三つが重要となります。
セキュリティに関するガイドラインを定める
まず、実施しておきたいのが、セキュリティガイドラインの策定です。セキュリティガイドラインとは、事故が起こらないようにするための施策と、事故が起きてしまったときの対応策をセットにして明確化したものです。考え方やプロセスを明確化することで、事故の発生率を減少させたり、事故の発生時に従業員が適切な行動をとれるようにします。
セキュリティツール・サービスの導入を検討する
ヒューマンエラーによる防ぎきれない事故を防ぐため、セキュリティ対策ツールやサービスの導入を検討することも重要です。有害サイト検知ツールや情報漏洩検知ツール、社内外ネットワークリスク分析ツール、メールセキュリティサービス、IoTデバイスセキュリティサービスなど、数多くの有効なツールやサービスが提供されています。こうしたセキュリティツールを導入することで事故のリスクを低減し、安全な業務を継続できます。ツールの導入や運用に費用がかかることもあるので、課題や予算などと照らし合わせながら検討してください。
セキュリティに関する社員教育を行う
社内のセキュリティ意識を向上させるために、社員教育を実施することも重要です。セキュリティガイドラインを策定しても、堅固なセキュリティツール・サービスを導入しても、オペレーションをする社員のセキュリティ意識が低いままでは意味がありません。特に工場内で業務に従事している社員は、それまでセキュリティ対策を行う必要がなかった分、セキュリティ意識が低い状態にある場合がほとんどです。社員一人ひとりがセキュリティを意識した行動を取れるよう、定期的に社員研修を実施したり、注意喚起用ポスターを掲示したりすることが重要です。
サイバー攻撃を防ぐにはメールセキュリティ対策は急務!
リモートワークが広く普及したことにより、メールの使用頻度は今まで以上に高くなりました。セキュリティ対策を考える際に、メールに関するセキュリティは欠かせません。メールによるサイバー攻撃や誤送信などのヒューマンエラーに対しては、メールセキュリティサービスの導入が効果的です。
HENNGE株式会社の提供するクラウド型メールセキュリティサービス「HENNGE One E-mail Security Edition」は、クラウドメールの代表格であるMicrosoftの「Exchange Online」やGoogleの「Gmail」と連携することが可能で、230万人以上が利用しています。
メールの誤送信対策、メールの内容や件名、宛先などを分析して情報漏洩対策を行うメール監査、標的型攻撃対策、安全な通信プロトコルによる大容量転送など、多彩なメールセキュリティ機能により、安全性の高いメール利用環境を構築できます。
まとめ
製造業のDX化やIoT活用には、製品・サービスの品質向上、業務の効率化、コストの削減など、多くのメリットがあり、企業競争力の強化につながる極めて重要な取り組みです。しかし、同時にセキュリティリスクが高まることにも注意しなければなりません。「工場にセキュリティ対策は必要ない」は過去の考え方です。DX化やIoT活用にともない、工場のセキュリティ対策の甘さにつけこんだサイバー攻撃が増加しており、製造業の対策が求められています。
セキュリティ対策の第一歩として、まずはメールセキュリティサービス「HENNGE One E-mail Security Edition」の導入をご検討ください。
