サプライチェーンから外されないためのサイバーセキュリティ対策:製造マネジメント インタビュー
サプライチェーンの安全性確保を目的としたサイバーセキュリティ対策は「プロセス」と「エコシステム」の2つの観点から取り組む必要がある。特に最近では、大企業の要請で対策に取り組む中小企業も少なくない。対策を怠りチェーンから外されることは大きな経営リスクだ。
サプライチェーンの安定化は、製造業にとって非常に大きな関心事である。何らかの理由でチェーンが分断されれば、自社事業に甚大な被害が生じかねない。このためメーカーは米中貿易戦争に代表されるような地政学的リスクの情勢に関心を払い、また部材や部品の調達先を分散するなど、特定の国や企業への依存性を低減する工夫を重ねている。
これらに加えて近年課題となっているのが、サプライチェーンの安全性確保を目的としたサイバーセキュリティ対策である。「つながる工場」実現に向けた取り組みが国内製造業でも進んでいるが、これに伴って工場を狙ったサイバー攻撃のリスクも増している。地政学的な背景に基づくとみられる製造業へのサイバー攻撃も増加傾向にあるようだ。
トレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリスト 石原陽平氏は、サプライチェーンのセキュリティリスク管理のためにはサプライチェーンの「プロセス」と「エコシステム」という2側面に注目した対策が必要だと指摘する。「プロセス」の対策は社内的な取り組みが、「エコシステム」の対策は社外的な取り組みが中心となる。
どのプロセスでもセキュリティ対策が必要に
ここで言うプロセスとは、設計、開発/製造、流通、運用/保守、廃棄など一連の製品ライフサイクルを構成する工程や部門のことを指す。例えば、設計部門では機能要求やソフトウェア、設計文書の改ざんなどに、開発/製造部門では開発環境のマルウェア感染、FPGAやASICへの不正ロジック組み込みなどにそれぞれ対策を講じる必要がある。特に設計部門では地政学的リスクを鑑みた部材、部品、ソフトウェアの選定を行わなければならない。プロセスの一部でもサイバー攻撃を受けると、その影響はチェーン全体に波及する。仮に製造部門が被害を受ければ、自社工場の操業を一時停止せざるを得ない状況にすらなり得る。
石原氏は「従来、国内企業では情報システム部門などに在籍する専門人材がこれらのセキュリティ対策を講じていたが、今後は社内のどの部門でも、必要なセキュリティ知識を備えた、いわゆるプラス・セキュリティ人材が必要とされるだろう」と指摘した。
対策の事実を積極的に発信する企業が増加
こうしたプロセス全体でのセキュリティ対策に加えて、部材調達先や製品輸出先などの他企業を含めた経済圏(エコシステム)でのセキュリティ対策も必要となる。万が一、部材調達先がサイバー攻撃を受けてしまい安定的な部材供給ができなくなれば、生産計画に大きな支障が生じかねない。このためエコシステム全体を安全に保つための取り組みが必要になる。
また石原氏は最近の傾向として「自社がサイバーセキュリティ対策を行っていることを、広報活動などを通じて積極的に発進する企業が増えている」と指摘する。これは、特に大企業がセキュリティ対策を強化するため、十分な対策を講じている企業とのみ取引を行う姿勢を強めているためだ。セキュリティ対策が不十分だと見なされてしまえば、既存のサプライチェーンから外される経営リスクが上昇しかねない。これを未然に防ぐための対策である。
しかし、大企業と比較して、中小製造業においてはサイバーセキュリティへの大規模な投資は難しい。このため、制約の中でいかに効果的に対策を進めるかが課題になる。まずは最低限の対策から着手するべきだが、工場内にはセキュリティソフトを導入しづらい機器も多く、この他にも工場稼働を停止しづらい、OSのサポート期限切れなど工場環境特有の条件が影響して、セキュリティ対策を講じにくいという問題もある。石原氏は「外部のITベンダーに相談するのも手だが、専任のセキュリティ担当者が在籍していない企業も少なくないため、まずはIT部門主導で対策を進めるべきだ」と指摘した。
また石原氏は、国内製造業におけるサプライチェーンリスクマネジメントへの意識について「セキュリティ対策の重要性について認識は広まっているが、どの程度具体的な対策をしているかは各社でばらつきがある。現状では町工場のような規模の企業でも、取引先からセキュリティ対策を行うよう求められるようになっており、こうした動きは今後加速すると考えられる」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 工場を襲うサイバー攻撃の大半は“流れ弾”、トレンドマイクロが“おとり”調査
トレンドマイクロは2020年3月13日、2019年に5〜12月にかけて実施した「工場向けサイバー攻撃おとり調査」の結果についてメディア向けに発表した。本稿では、その内容を紹介する。 - サイバー攻撃の脅威は、サプライチェーンにどういう危機をもたらすか
法律・知財の専門家が製造業のグローバルサプライチェーンに潜む課題と対策について解説する本連載。第5回では、高まるサイバーセキュリティの脅威の中、それがサプライチェーンにどういう影響を与えるかという点を、Ernst & Young のパートナーであり、アジア・パシフィック地域のインフォメーションセキュリティリーダーを務めるマイク・トロバート(Mike Trovato)氏と、Microsoftのアジアパシフィック地域の知財部門ディレクターであるケシャブ・S・ダカッド(Keshav S Dhakad)氏の対談を通じてお伝えします。 - 「工場の要塞化」を提案するトレンドマイクロ、持続性を確保する新製品を発表
トレンドマイクロは2019年11月12日、産業制御システム向けセキュリティ製品のラインアップを大きく拡充し、2020年1月14日から順次受注開始すると発表した。 - 工場を襲うサイバー攻撃の大半は“流れ弾”、トレンドマイクロが“おとり”調査
トレンドマイクロは2020年3月13日、2019年に5〜12月にかけて実施した「工場向けサイバー攻撃おとり調査」の結果についてメディア向けに発表した。本稿では、その内容を紹介する。 - 産業用IoTゲートウェイが工場セキュリティの穴に、トレンドマイクロが警鐘
セキュリティベンダーのトレンドマイクロは2020年10月13日、スマート化された産業制御システムのサイバーセキュリティリスクを明らかにするために行った実証実験の結果について、メディア向けオンラインセミナーで発表。産業用IoTゲートウェイがセキュリティ対策の盲点となっている状況があることを紹介した。 - 製造業とサイバーセキュリティ
MONOistに掲載した主要な記事を、読みやすいPDF形式の電子ブックレットに再編集した「エンジニア電子ブックレット」。今回は、2021年3〜6月にかけて掲載した、製造業に関わるサイバーセキュリティの主要ニュースをまとめた「製造業のサイバーセキュリティ」をお送りします。