これまで製造現場のコンプライアンス違反といえば、品質にかかわる不正や不祥事がメインでした。しかし近年、ESG経営やSDGsの広まりから、品質以外の分野でも高度なコンプライアンス要求が生じています。本連載ではコンプライアンスの高度化／複雑化を踏まえ、製造現場が順守すべきコンプライアンスの外延を展望します。

» 2023年08月07日 10時00分公開

[保坂範和／KPMGコンサルティング，MONOist]

　本連載では第1回から第4回まで、製造業におけるコンプライアンス違反による不正／不祥事への「予防」「発見」「対応」の視点で、リスクアセスメントの重要性やその取り組み方、ステークホルダーへの情報開示、再発防止策の検討／実施などを解説してきました。第5回では工場／製造現場におけるサイバーセキュリティについて解説します。

⇒連載「複雑化した工場リスクに対する課題と処方箋」のバックナンバーはこちら

工場のサプライチェーンを狙うサイバーリスク増加

（1）アフターコロナのサプライチェーンに迫るセキュリティ脅威

　新型コロナウイルス感染症のパンデミックは、物理世界とデジタル世界の境界線をあいまいにし、サイバーセキュリティインフラの断層を露呈させるなど、多くの新たな課題を明らかにしました。工場では従業員のリモートワークだけでなく、請負業者の遠隔サービスサポートなども増加しており、リモートアクセスに関連する脆弱（ぜいじゃく）性を狙ったサイバー攻撃のリスクが高まっています。

　そのような中、攻撃者は海外拠点や中小企業をターゲットとしています。実際に、国内でも大手企業のサプライチェーンを狙ったサイバー攻撃は顕在化しており、その影響は工場の操業にまで波及しています。

（2）ランサムウェア（身代金要求型ウイルス）の猛威

　サイバー攻撃の中でもシステム停止や情報漏えいと引き換えに身代金を要求するランサムウェアの脅威が増しています。ランサムウェアによる工場インフラの停止など、メディアの見出しをにぎわすようなインシデントが各国／地域で相次ぎ、工場のサイバーセキュリティにとって憂慮すべき状況が続いています。

図1：ランサムウェア攻撃の被害実態（国内調査）［クリックして拡大］出所：KPMGコンサルティング

　このような状況を受け、多くの企業が重要な事業運営と俊敏性を維持しながら、必要な投資、人材、技術を最重要課題に充てるため、工場セキュリティの見直しを急いでいます。

図2：工場サイバーセキュリティの年間予算（海外調査）［クリックして拡大］出所：KPMGコンサルティング

サプライチェーンへのセキュリティ要求動向

（1）日本政府の動向

　国内では、サプライチェーンの安定供給を目的として「経済安全保障推進法案」が2022年5月に参議院で可決され、同11月には経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン　Ver.1」が発行されました。ガイドラインでは業界団体や企業が自ら対策を企画、実行するに当たり、参照すべき考え方やステップを「手引き」として示して、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用／管理面の対策までを明記しています。

ステップ1：「内外要件（経営層の取組の法令等）や業務、保護対象等の整理」
ステップ2：「セキュリティ対策の立案」
ステップ3：「セキュリティ対策の実行、及び計画・対策・運用方針の不断の見直し（PDCAサイクルの実施）」

　本ガイドラインにより、業界／業種の事情に応じたガイドラインを作成するなど、工場へのセキュリティ対策の立案／実行を通じて、工場を含むサプライチェーン全体のセキュリティを底上げすることを目指しています。

（2）海外の動向

　海外では、エネルギー業界を中心にサプライチェーンに対するサイバーセキュリティ監査の取り組みが進んでおり、業界標準のセキュリティフレームワークをベースとしたサイバーセキュリティ監査がサプライヤーに義務付けられています。

図3：サプライチェーンに対するサイバーセキュリティ監査（サウジアラビア）［クリックして拡大］出所：「SACS-002 Third Party Cybersecurity Standard」を基にKPMGが資料作成

　米国ではIoT Cybersecurity Improvement Act of 2022が成立し、連邦政府がIoT（モノのインターネット）機器を調達する際のガイドライン（NIST SP 800-213）を策定して、消費者向けIoT製品に対するセキュリティラベリング制度の構築も検討しています。欧州連合（EU）では、IoT機器の相互接続の増加によるリスクの増加を考慮して、サイバーレジリエンス規制（EU Cyber Resilience Act）が提案されています。