CHECK
01
ITとOTのネットワーク境界における防御の徹底
今回のインシデントでは、工場の生産ラインが停止したことから、オフィス環境(IT)から侵入したマルウェアが、工場を制御するネットワーク(OT)にまで影響を及ぼした可能性が強く示唆されます。ITシステムとOTシステムは、その役割や求められる可用性が異なるため、ネットワーク的に適切に分離し、境界での監視と制御を強化することが極めて重要です。具体的には、境界に産業用ファイアウォールや侵入検知・防御システム(IDS/IPS)を設置し、許可された必要最低限の通信のみを通過させる「ゼロトラスト」の考え方を適用するべきです。これにより、万が一IT側で侵害が発生しても、被害がOT側に波及するリスクを大幅に低減できます。
CHECK
02
ランサムウェアを想定した多層的な防御と復旧計画
ランサムウェア攻撃は、単一のセキュリティ製品で完全に防ぐことは困難です。そのため、「侵入されること」を前提とした多層的な防御態勢が不可欠です。エンドポイント(PCやサーバー)には、不審な挙動を検知して隔離するEDR(Endpoint Detection and Response)の導入が有効です。加えて、攻撃の起点となりやすいメールのフィルタリング強化や、従業員への継続的なセキュリティ教育も欠かせません。最も重要なのは、迅速な復旧を可能にするバックアップ戦略です。システムの重要度に応じてバックアップの頻度を定め、ネットワークから隔離された場所や書き換え不可能なストレージ(イミュータブルストレージ)に保管することで、暗号化されたデータからの復旧を確実なものにします。
CHECK
03
グローバル規模でのインシデント対応体制の確立
国内外の複数拠点で同時に被害が発生し、復旧にも時間を要したことから、グローバル全体で統制の取れたインシデント対応体制(CSIRT)が機能していたか、見直す必要があります。時差や言語の壁を越えて、被害状況や攻撃の痕跡(IoC: Indicator of Compromise)をリアルタイムに共有し、連携して封じ込めや復旧作業にあたる仕組みが求められます。机上訓練や実践的な演習を定期的に行い、有事の際に各拠点の担当者が迷わず動けるようにしておくことが、事業への影響を最小限に抑える鍵となります。
CHECK
04
事業継続計画(BCP)におけるサイバー攻撃シナリオの具体化
工場の操業停止という深刻な事態は、サイバー攻撃が単なる情報漏えいリスクではなく、事業継続そのものを脅かす経営リスクであることを示しています。従来の自然災害などを想定したBCPに加え、「主要な生産管理システムがランサムウェアに暗号化される」といった具体的なサイバー攻撃のシナリオを盛り込み、その際の代替手段を定義しておくべきです。例えば、システムが使えない状況で、一時的に手動で生産や出荷を行うための手順を整備し、訓練しておくといった対策が考えられます。これにより、システム復旧までの間、事業への影響を緩和することが可能になります。
