昨今、経済産業省が警告を発する「2025年の崖」が迫っている状況もあり、工場においてもDX施策の一環として工場のIoT化が進んでいます。
IoT化したもののセキュリティ対策は従来のままで不安に感じているセキュリティ担当者の方もいるのではないでしょうか。
本記事では、工場のセキュリティが注目される理由や、工場におけるサイバー攻撃の最新状況や事例、セキュリティ対策の具体的な進め方について解説します。
サイバー攻撃を受け、生産ラインがストップしないよう確認していきましょう。
1. 工場のセキュリティが注目される理由
工場のセキュリティが注目されている理由とは、工場におけるIoT化の増加に伴い、製造ラインの機器に対してネットワーク接続が増えているためです。サイバー攻撃はネットワークの脆弱性を狙って行われているので、ネットワーク接続が増えるほどサイバー攻撃を受けるリスクが高まります。
IoT化に伴い社用PCにて製造ラインの稼働状況や生産状況、分析・生産シミュレーターなど、従来に比べて多くを確認できるようになりました。また、製造ラインの画像分析をしているカメラも独自にクラウドサービスと繋がっていることもあるでしょう。
それぞれの機器のネットワークを束ねているWi-Fiなどにおいて脆弱性があり、サイバー攻撃の対象となってしまうリスクがあります。こういった理由から工場のセキュリティが注目されています。
2. サイバー攻撃の最新状況
総務省が発表しているサイバー攻撃観測・分析システムであるNICTERが2021年に観測したサイバー攻撃関連通信数は、2018年との比較では2.4倍、2016年との比較では3.7倍に増加しています。
NICTERでのサイバー攻撃関連の通信内容をみると、IoT機器を狙ったサイバー攻撃が依然として最も多いです。
また、警視庁の「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、身代金要求型のランサムウェアの被害は、全146件のうち、製造業が最も多い55件で全体の36%です。ランサムウェアにより、業務に何かしらの影響を与えた企業は全体の92%を占めているため、セキュリティ対策が重要視されています。
参考:https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf307000.html
参考:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf
3. 工場におけるセキュリティ対策・導入の進め方
実際に工場で発生したサイバー攻撃の事例をご紹介します。自社だけでなく、親会社など全ての製造ラインをストップさせてしまう影響があるので、自社の状況を見直すきっかけにしましょう。
企業 | 小島プレス工業 |
原因 | 子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器の脆弱性 |
事例詳細 | 小島プレス工業の子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器に脆弱性があり、そのことがきっかけとなり不正アクセスを受けた。 |
影響 | トヨタの国内全14工場28ラインを停止 |
再発防止策 | 外部専門家の支援を受け、ネットワークやサーバ、パソコン等端末へ の不正アクセス防止の強化、監視の拡大強化を実施 |
参考 |
4. 工場におけるサイバー攻撃の事例
前述のような背景もあり、経済産業省が2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」を策定しました。
ガイドラインはセキュリティ対策を行うに当たり、考え方や進め方をステップごとに示しています。本記事ではガイドラインを抜粋して進め方をご紹介しますので、自社を取り巻く環境の整理やセキュリティ対策の参考にしてください。
4-1. ステップ1:内外要件や業務、保護対象等の整理
ステップ | 概要 |
1-1 | セキュリティ対策検討・企画に必要な要件の整理 (経営⽬標等の整理|外部要件の整理|内部要件/状況の把握) |
1-2 | 業務の整理 |
1-3 | 業務の重要度の設定 |
1-4 | 保護対象の整理 |
1-5 | 保護対象の重要度の設定 |
1-6 | ゾーンの整理とゾーンと業務、保護対象の結びつけ |
1-7 | ゾーンと、セキュリティ脅威の影響の整理 |
ステップ1では、内外要件や業務などの現状整理を行います。
まずは、自社の工場システムセキュリティ対策に関わる外部要件(セキュリティ法規制・ 標準規格・ガイドライン準拠)や内部要件(システム面、運用・管理面、維持・改善面等)や体制が、現状どのようになっているか整理を行います。
次に工場システムが日々の業務でどのように使われているか、その業務の洗い出しを行い、それぞれの業務の重要度を定めましょう。業務の重要度は、セキュリティ対策の重要度/優先度を決定する判断材料となります。
またその次にセキュリティ対策を強化すべき業務に対して、当該業務を支援/実施する工場システムの構成要素(ネットワーク、装置・機器(機能・プログラム)・データなど)を洗い出し、システム構成図の模式図を整理します。
製造業/工場が重視する価値軸である事業伸張・継続(BC)の視点、安全確保 (S)、品質確保(Q)、納期遵守・遅延防止(D)、コスト低減(C)の視点、それによる業務の重要性の視点から、洗い出した保護対象それぞれの重要度を明確にしましょう。
工場システムは業務内容や業務重要度などを考慮しつつ、同等の水準のセキュ リティ対策が求められる領域として、ゾーンを設定し、これまでに整理した業務、保護対象を結びつけます。
4-2. ステップ2:セキュリティ対策の立案
ステップ | 概要 |
2-1 | セキュリティ対策方針の作成 |
2-2 | 想定脅威に対するセキュリティ対策の対応づけ (1)システム構成⾯での対策 ①ネットワークにおけるセキュリティ対策 ②機器におけるセキュリティ対策 ③業務プログラム・利⽤サービスにおけるセキュリティ対策 (2)物理⾯での対策 ①建屋にかかわる対策 ②電源/電気設備にかかわる対策 ③環境(空調など)にかかわる対策 ④⽔道設備にかかわる対策 ⑤機器にかかわる対策 ⑥物理アクセス制御にかかわる対策 |
ステップ2では、ステップ1で収集・整理した情報に基づき、工場システムのセキュリティ対策方針を定めていきましょう。
まずは、ステップ1で整理したゾーンとこれに紐づく業務、保護対象、想定脅威に対して、業界や個社の置かれた環境に応じ、重要度・優先度を設定します。
これまでに整理した、ゾーン、保護対象、業務、脅威、影響とセキュリティ対策を紐づけます。個社や業界の置かれた環境に応じ、対策の費用対効果等も勘案しながら、必要な 対策を企画・実行することが重要です。
4-3. ステップ3:セキュリティ対策の実行、及び計画。対策。運用体制の不断の見直し
ステップ | 概要 |
3-1 | ライフサイクルでの対策 サプライチェーンを考慮した対策 (1) ライフサイクルでの対策 ①運⽤・管理⾯のセキュリティ対策 A) サイバー攻撃の早期認識と対処 (OODAプロセス) B) セキュリティ対策管理(ID/PW管理、 機器の設定変更など) C)情報共有 ②維持・改善⾯のセキュリティ対策 ・セキュリティ対策状況と効果の確認・評価、環境変化 に関する情報収集、対策の⾒直し・更新 ・組織・⼈材のスキル向上(教育、模擬訓練等 (2) サプライチェーン対策 ・取引先や調達先に対するセキュリティ対策の要請、 対策状況の確認 |
最後にステップ3では、ステップ2 で立案したセキュリティ対策を実行するとともに、 ライフサイクルでの対策、及びサプライチェーンを考慮した対策を実施します。
大切なポイントはステップ3の後に、対策や運用の見直しを定期的に行い、必要に応じて1〜3までのPDCAサイクルを回すことです。
引用:工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0
引用:工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0(詳細)
まとめ
本記事では、工場におけるセキュリティが注目されている理由、サイバー攻撃の最新状況、実際に起こった事例、工場におけるセキュリティ対策の具体的な進め方について解説しました。
工場ではDX推進の1つの手段としてIoT化が進み、さまざまな機器がネットワークに繋がることからセキュリティ対策が注目されています。
そして、昨今では各業界におけるサイバー攻撃が増加しており、その中でも製造業が最も割合が多く、セキュリティ対策が重要なポイントです。
総務省もセキュリティ対策のガイドラインを出しており、ステップごとに具体的な考え方や進め方が説明してあるので実践的な内容となっています。
これを機に自社のセキュリティ状況を見直してみてはいかがでしょうか。