製造業を取り巻くサイバー脅威
なぜ製造業が狙われるのか
製造業は、サイバー攻撃者にとって魅力的な標的となっています。IPAが発表する「情報セキュリティ10大脅威」においても、製造業を含む重要インフラへの攻撃は常に上位にランクインしています。
製造業が狙われる理由は複数あります。まず、知的財産・技術情報の価値です。製品設計図、製造プロセス、顧客情報などは、競合他社や国家支援型攻撃者にとって高い価値があります。産業スパイの標的となることも少なくありません。
次に、操業停止による身代金効果です。製造ラインが停止すると、1日あたり数千万円から数億円の損失が発生することもあります。この「止められない」という特性が、ランサムウェア攻撃者にとって格好の脅迫材料となります。身代金を支払わざるを得ない状況に追い込みやすいのです。
さらに、レガシーシステムの脆弱性も要因です。製造業のOT環境では、20年以上前のシステムが現役で稼働していることが珍しくありません。これらはセキュリティを考慮していない設計であり、攻撃者にとって侵入しやすい環境となっています。
| マルウェアファミリー | 標的 | 主な影響 | 事例年 |
|---|---|---|---|
| Stuxnet | 産業制御システム(遠心分離機) | 物理的破壊 | 2010 |
| Industroyer/CrashOverride | 電力網 | 停電 | 2016 |
| WannaCry | 全産業(製造業含む) | 操業停止 | 2017 |
| LockerGoga | 製造業 | 操業停止、身代金要求 | 2019 |
| EKANS/Snake | 産業制御システム | OTプロセス停止 | 2020 |
| LockBit系 | 製造業含む全産業 | データ暗号化、情報窃取 | 2021-現在 |
OT環境特有の課題
OT(Operational Technology:運用技術)環境は、IT環境とは根本的に異なる課題を抱えています。この違いを理解することが、効果的なセキュリティ対策の第一歩です。
- 可用性最優先の文化
- OT環境では、システムの停止は即座に生産停止や安全リスクにつながります。そのため、「動いているものに手を加えない」という文化が根付いています。セキュリティパッチの適用よりも、安定稼働が優先されることが一般的です。これはIT環境の「機密性・完全性・可用性」のバランスとは大きく異なります。
- 長いライフサイクル
- 製造設備は、10年、20年、時には30年以上使用されることがあります。その間、接続されている制御システムやOSも同様に使い続けられます。Windows XPやWindows 7など、サポートが終了したOSが現役で稼働していることも珍しくありません。
- パッチ適用の困難さ
- OT環境へのパッチ適用は、IT環境のように簡単ではありません。パッチ適用には計画的な停止が必要であり、適用後の動作検証も欠かせません。ベンダーサポートなしでのパッチ適用は保証対象外となることもあります。結果として、脆弱性が長期間放置されがちです。
- 専門性の分断
- IT部門はITセキュリティに詳しく、生産技術部門はOTシステムに詳しいですが、両方に精通した人材は希少です。この専門性の分断が、IT/OT融合環境でのセキュリティギャップを生み出しています。
マルウェア感染対策を製造業で実践するには、これらOT特有の課題を踏まえたアプローチが必要です。
被害事例
製造業におけるマルウェア被害の具体例を知ることで、脅威の現実性を理解できます。
TSMC(台湾、2018年)では、WannaCryの亜種が工場に侵入し、複数の製造ラインが約2日間停止しました。被害額は約190億円と報告されています。新規機器の導入時に十分なセキュリティチェックを行わなかったことが原因とされています。
ノルスクハイドロ(ノルウェー、2019年)では、アルミニウム製造大手がLockerGogaランサムウェアの被害を受け、170か所以上の拠点が影響を受けました。一部の工場は手動操作への切り替えを余儀なくされ、完全復旧まで数か月を要しました。被害額は約70億円以上と推定されています。
Colonial Pipeline(米国、2021年)は、製油所ではなくパイプライン運営会社ですが、OT環境への影響を懸念してパイプラインを予防的に停止しました。これにより米国東海岸で燃料不足が発生し、社会的影響が甚大でした。
国内サプライヤー被害(日本、2022年)では、自動車部品サプライヤーがサイバー攻撃を受け、主要自動車メーカーの国内全工場が操業停止に追い込まれました。サプライチェーン全体への影響の大きさを示した事例です。
これらの事例から、製造業におけるサイバー攻撃の影響は、単一企業にとどまらず、サプライチェーン全体、さらには社会インフラにまで波及する可能性があることが分かります。
IT/OT融合のリスクと対策
スマートファクトリー化の光と影
スマートファクトリーの推進により、製造業ではIT/OT融合が急速に進んでいます。IoTセンサーの導入、クラウドとの連携、予知保全システムの活用など、デジタル化によって生産性向上やコスト削減が実現しています。
しかし、このIT/OT融合は、同時にサイバー攻撃のリスクを高めています。かつてはネットワーク的に分離されていたOT環境が、ITネットワークやインターネットと接続されることで、攻撃対象面(アタックサーフェス)が大幅に拡大しています。
| IT/OT融合の段階 | 特徴 | リスク |
|---|---|---|
| 段階1:分離 | IT/OTネットワークが物理的に分離 | 低(ただし内部脅威、USB経由のリスクあり) |
| 段階2:一方向接続 | OTからITへデータ送信のみ | 中(データ流出リスク、設定ミスのリスク) |
| 段階3:双方向接続 | IT/OT間で相互通信 | 高(IT経由でのOT侵入リスク) |
| 段階4:クラウド連携 | OTデータがクラウドに送信される | 高(クラウド侵害→OT侵害のリスク) |
| 段階5:完全統合 | IT/OTが統合管理される | 非常に高(攻撃者の横展開が容易) |
ネットワークセグメンテーション
IT/OT融合環境でのリスク低減には、ネットワークセグメンテーションが最も重要な対策の一つです。適切にセグメント分離を行うことで、攻撃者の横展開を困難にし、被害を局所化できます。
- Purdueモデルの適用
- 産業制御システムのセキュリティアーキテクチャとして広く採用されているPurdueモデルは、システムを複数のレベルに分類し、レベル間のアクセスを制御します。レベル0(物理プロセス)からレベル5(エンタープライズネットワーク)まで階層化し、各レベル間にはファイアウォールを設置します。
- DMZの設置
- IT環境とOT環境の間にDMZ(非武装地帯)を設置し、直接通信を禁止します。DMZ内にはジャンプサーバー、ヒストリアン(データ収集サーバー)、パッチ管理サーバーなどを配置し、これらを経由した通信のみを許可します。
- 一方向ゲートウェイ(データダイオード)
- 物理的に一方向の通信のみを許可するデバイスです。OT環境からIT環境へのデータ送信は許可しつつ、逆方向の通信を物理的に遮断します。最もセキュアな分離方法ですが、双方向通信が必要な用途には使用できません。
ネットワークセグメンテーションの実装では、現状のネットワーク構成の可視化、重要資産の特定、通信要件の整理、段階的な分離の実施という手順で進めることを推奨します。一度に全てを変更するのではなく、優先度の高いエリアから段階的に実装していきます。
安全なリモートアクセス
製造業でもリモートアクセスのニーズが高まっていますが、OT環境へのリモートアクセスは特に慎重な設計が必要です。
従来のVPNには限界があります。VPN接続が確立されると、認証されたユーザーに広範なネットワークアクセスが許可されることがあります。VPNアカウントが窃取された場合、攻撃者にOT環境への入り口を与えてしまいます。
ゼロトラストアプローチでは、「信頼せず、常に検証する」原則に基づき、ユーザー、デバイス、アクセス先を都度検証します。必要最小限のアクセス権のみを付与し、セッションごとに認証を要求します。
ジャンプサーバー(踏み台サーバー)の活用も有効です。OT環境へのアクセスは、監視・ログ記録が行われるジャンプサーバーを経由させます。直接のOT環境へのアクセスを禁止し、全てのアクセスを記録・監視します。
サプライチェーン攻撃対応の観点からも、外部ベンダーによるリモートメンテナンスのアクセス管理は重要です。
OT環境のマルウェア対策
OT向けセキュリティ製品
OT環境には、IT環境とは異なる要件に対応した専用のセキュリティ製品が必要です。
| 製品カテゴリ | 機能 | 主要ベンダー例 | 特徴 |
|---|---|---|---|
| 産業用ファイアウォール | OTプロトコル対応のトラフィック制御 | Palo Alto、Fortinet、Cisco | Modbus、OPC UA等の産業プロトコル対応 |
| OT向けNDR/IDS | ネットワーク異常検知 | Claroty、Nozomi、Dragos | OT通信の正常パターン学習 |
| 資産可視化 | OT資産の自動検出・管理 | Claroty、Armis、Forescout | パッシブスキャンによる検出 |
| OT向けEDR | エンドポイント保護 | CrowdStrike、Microsoft、SentinelOne | 軽量エージェント、OT対応版 |
| アプリケーション制御 | ホワイトリスト方式の実行制御 | Carbon Black、McAfee | 許可されたアプリのみ実行 |
OT向けセキュリティ製品の選定では、OT環境への影響を最小化することが最重要です。パッシブ(受動的)なスキャン、軽量なエージェント、OTシステムへの非干渉が求められます。導入前には必ずテスト環境での検証を行い、生産システムへの影響がないことを確認します。
パッチ管理の現実解
OT環境へのパッチ適用は、IT環境のように自動化することは困難です。現実的なアプローチを検討する必要があります。
- パッチ適用が困難な理由
-
- 計画停止が必要で、生産スケジュールとの調整が困難
- パッチ適用後の動作検証に時間がかかる
- ベンダーの承認なしでのパッチ適用は保証対象外となる場合がある
- 古いOSにはパッチが提供されない
- リスクベースの優先順位付け
- 全ての脆弱性に対応することは現実的ではありません。脆弱性の深刻度(CVSS)、悪用の容易さ、影響を受けるシステムの重要度を考慮し、優先順位を決定します。インターネットに面した系や、重要データにアクセスできる系を優先的に対応します。
- 仮想パッチング
- システム自体にパッチを適用できない場合、ネットワーク機器(IPS/IDS)やWAFで脆弱性を狙った攻撃をブロックします。根本的な解決ではありませんが、リスク低減策として有効です。
- 代替緩和策
- ネットワーク分離の強化、アクセス制御の厳格化、監視の強化など、パッチ以外の方法でリスクを低減します。
USBデバイス管理
外部メディア経由のマルウェア感染は、OT環境における主要な感染経路の一つです。Stuxnetも当初はUSBメモリを介して侵入しました。
USBデバイス管理の対策として、まずポリシーの明確化が必要です。持ち込みUSBの禁止、承認済みデバイスのみ許可など、組織のポリシーを明確にし、従業員に周知します。
キオスク端末(検疫端末)の設置も有効です。外部から持ち込まれるUSBデバイスは、OT環境に接続する前に検疫端末でスキャンします。マルウェアが検出された場合は持ち込みを禁止します。
物理的/論理的なポート無効化により、使用する必要のないUSBポートは、BIOS設定やグループポリシーで無効化します。物理的にポートをブロックする製品もあります。
承認済みデバイスの管理では、使用を許可するUSBデバイスをホワイトリスト化し、それ以外のデバイスは接続しても認識されないよう制御します。
IoT/OTマルウェアの動向を把握し、最新の感染経路に対応することも重要です。
インシデント対応の特殊性
OTインシデント対応の原則
OT環境でのインシデント対応は、IT環境とは異なる原則に基づいて行う必要があります。
| 観点 | IT環境 | OT環境 |
|---|---|---|
| 最優先事項 | 機密性、データ保護 | 安全性(Safety)、人命保護 |
| システム停止 | 比較的容易に判断可能 | 生産停止、安全リスクを考慮 |
| 隔離方法 | ネットワーク遮断が基本 | 物理プロセスへの影響を考慮 |
| 復旧目標 | データ復旧、業務再開 | 安全な操業再開 |
| 対応体制 | IT部門中心 | IT、OT、生産技術の連携必須 |
| 証拠保全 | 標準的なフォレンジック | OTログ、PLCデータの保全も必要 |
安全性(Safety)の最優先は、OTインシデント対応の大原則です。サイバーインシデントへの対応で、物理的な危険が生じてはなりません。必要に応じて、安全な状態への移行(緊急停止など)を最優先します。
検知と初動対応
OT環境での異常検知と初動対応のポイントを解説します。
アラート監視体制として、OT環境のセキュリティ監視は、IT-SOCとは別に、またはIT-SOCと連携したOT-SOCで行うことが理想的です。OTプロトコルや産業制御システムに精通したアナリストが必要です。24時間365日の監視が難しい場合は、外部のMSSP(マネージドセキュリティサービスプロバイダー)の活用も検討します。
影響評価(安全・生産・品質)では、インシデントが検知された場合、まず影響評価を行います。安全への影響(人命リスク、環境リスク)、生産への影響(停止範囲、復旧時間)、品質への影響(製品品質、出荷可否)を評価します。
緊急停止の判断基準は事前に定めておく必要があります。どのような状況で緊急停止を判断するか、誰が判断権限を持つかを明確にしておきます。サイバーインシデントの場合も、安全に関わる判断は生産技術部門や工場長が行うべきです。
ランサムウェア対応プレイブックをOT環境向けにカスタマイズしておくことも重要です。
復旧と再開
OT環境の復旧では、IT環境以上に慎重な手順が求められます。
段階的な復旧プロセスとして、全てを一度に復旧するのではなく、安全システム→基幹制御システム→生産システムの順で段階的に復旧します。各段階で動作確認を行い、問題がないことを確認してから次の段階に進みます。
安全確認手順では、生産再開前に、安全システムが正常に機能していることを確認します。緊急停止機能、インターロック、センサーなどの動作確認を行います。セキュリティの観点だけでなく、安全の観点からの確認が必須です。
生産再開の判断は、IT部門、セキュリティ部門、生産技術部門、工場長などの関係者が合意の上で行います。一人の判断で再開することは避け、複数の視点からの確認を経て判断します。
組織体制とガバナンス
IT/OT統合セキュリティ体制
製造業では、IT部門とOT部門(生産技術部門)が別々の組織として存在することが多く、セキュリティの取り組みも分断されがちです。効果的なセキュリティ対策のためには、統合的な体制の構築が必要です。
- OTセキュリティ担当の設置
- OTセキュリティに責任を持つ担当者または組織を明確にします。IT部門内に設置する場合と、生産技術部門内に設置する場合がありますが、いずれの場合もIT/OT両方の知識を持つ人材が必要です。
- IT部門との連携体制
- OTセキュリティ担当とIT部門のセキュリティ担当が定期的に情報共有を行う体制を構築します。脅威情報の共有、インシデント対応の連携、セキュリティポリシーの整合性確保などを行います。
- 工場現場との協力
- セキュリティ対策は、工場現場の理解と協力なしには実効性がありません。対策の目的と必要性を説明し、現場の業務への影響を最小化する工夫を行います。現場からのフィードバックを受け入れ、実態に即した対策にブラッシュアップします。
組織的マルウェア対策の観点から、全社的なセキュリティガバナンスの中にOTセキュリティを位置付けることが重要です。
規制・標準への対応
製造業、特にOT環境のセキュリティには、様々な規制・標準が関係します。
| 規制・標準 | 概要 | 対象 |
|---|---|---|
| IEC 62443 | 産業制御システムのセキュリティに関する国際標準 | 製造業全般 |
| NIST SP 800-82 | 産業制御システムセキュリティガイド | 米国基準、国際参照 |
| NIST CSF | サイバーセキュリティフレームワーク | 全産業 |
| 経済産業省ガイドライン | 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン | 国内製造業 |
| 自動車産業TISAX | 自動車業界の情報セキュリティ評価 | 自動車関連企業 |
IEC 62443は、産業制御システムセキュリティの国際標準として最も重要な規格です。システムオーナー、インテグレーター、製品サプライヤーそれぞれに対する要件が定められています。
業界標準・フレームワークを参照し、自社に適した基準を選択・適用することを推奨します。
中小製造業向け対策
限られたリソースでの対策
大企業と比べてリソースが限られる中小製造業でも、効果的なマルウェア対策は可能です。優先度の高い対策から着手することが重要です。
優先すべき対策トップ5を以下に示します。
- ネットワーク分離:IT/OTネットワークの分離は、最もコストパフォーマンスの高い対策です。少なくともファイアウォールによる論理分離を実施します。
- バックアップ:重要データ・設定のバックアップを定期的に取得し、オフライン保管します。バックアップ戦略を参照してください。
- パスワード管理:デフォルトパスワードの変更、強固なパスワードポリシーの適用は、低コストで効果の高い対策です。
- USBデバイス管理:不要なUSBポートの無効化、持ち込みデバイスの検疫ルールを定めます。
- 従業員教育:フィッシング詐欺など、人を狙った攻撃への耐性を高める教育を実施します。
- 年間予算50万円以下の場合
- ネットワーク分離(ファイアウォール導入)、バックアップ体制の構築(外付けHDD等)、パスワードポリシーの整備、従業員への基本教育に集中します。無料のセキュリティツール(Windows Defender等)を活用し、基本的な防御を固めます。
- 年間予算100万円程度の場合
- 上記に加えて、UTM(統合脅威管理)製品の導入、有償のエンドポイント保護ソフト、専門家によるセキュリティ診断(年1回程度)を検討します。IPAの「中小企業の情報セキュリティ対策ガイドライン」に沿った対策を進めます。
- 年間予算300万円程度の場合
- OT向けセキュリティ製品(資産可視化ツール等)の導入、MSSP(セキュリティ監視サービス)の活用、定期的なペネトレーションテストを検討できます。
外部支援の活用
中小製造業では、全ての対策を自社で行うことは現実的ではありません。外部の支援を積極的に活用することを推奨します。
IPAの支援として、IPA(情報処理推進機構)は、中小企業向けの各種支援を提供しています。「SECURITY ACTION」の宣言、「中小企業の情報セキュリティ対策ガイドライン」の活用、相談窓口の利用などが可能です。
商工会議所・業界団体の支援として、地域の商工会議所や業界団体が、セキュリティ研修やセミナーを開催していることがあります。同業他社との情報交換の場としても活用できます。
都道府県の支援として、一部の都道府県では、中小企業のセキュリティ対策を支援する事業を実施しています。専門家派遣やセキュリティ診断の補助などがあります。
よくある質問(FAQ)
- Q: 古いWindows(XP、7等)が稼働しているOT環境をどう守ればよいですか?
- A: サポート終了OSへのパッチ適用は困難ですが、以下の対策で保護可能です。①ネットワーク分離を徹底し、必要最小限の通信のみ許可します。②ホワイトリスト型のアプリケーション制御で未承認プログラムの実行を防止します。③USBポートの物理的/論理的無効化を行います。④資産可視化と監視による異常検知体制を構築します。長期的にはOSアップグレードや機器更新を計画してください。
- Q: IT部門とOT部門の連携がうまくいきません。どうすればよいですか?
- A: 両部門の「言語」と「優先事項」の違いを理解することが出発点です。IT部門はセキュリティ(機密性)を、OT部門は可用性と安全性を重視します。まずは定期的な情報共有の場を設け、相互理解を深めることから始めてください。共通の目標(事業継続、安全な操業)を確認し、それぞれの専門性を活かした役割分担を明確にします。経営層からの支援と明確な方針も重要です。
- Q: OT環境にEDRを導入しても大丈夫ですか?システムに影響はありませんか?
- A: 最近のOT対応EDR製品は、OT環境への影響を最小化するよう設計されています。ただし、導入前には必ずテスト環境での検証を行ってください。ベンダーにOT環境での動作実績を確認し、推奨設定を入手します。本番環境への導入は段階的に行い、問題がないことを確認しながら進めます。リアルタイムスキャンの除外設定など、パフォーマンスへの影響を軽減する設定も検討してください。
- Q: 製造ラインが24時間稼働しているため、パッチ適用の時間が取れません。どうすればよいですか?
- A: 年次の計画停止時にまとめてパッチを適用する方法が一つです。それまでの間は、ネットワーク分離の強化、仮想パッチング(IPS/IDSでの攻撃ブロック)、アクセス制御の厳格化などで代替的にリスクを低減します。また、重要度の高い脆弱性については、臨時の停止を含めて対応を検討してください。リスクを許容するか、生産への影響を受け入れるかの経営判断が必要です。
- Q: サプライヤーとしてセキュリティ要件を求められています。どこから手を付ければよいですか?
- A: まず、求められている要件の内容を正確に把握してください。多くの場合、NIST CSF、ISO 27001、自動車業界であればTISAXなど、特定の基準への準拠が求められます。自社の現状を該当基準で評価し、ギャップを特定します。優先度の高いギャップから対応を進め、対応状況を顧客に報告します。専門家の支援を受けることも検討してください。
まとめ
製造業へのサイバー攻撃は深刻化しており、OT環境特有の課題を踏まえた対策が必要です。IT/OT融合が進む中、ネットワークセグメンテーション、OT向けセキュリティ製品の活用、パッチ管理の現実解、USBデバイス管理など、多層的な防御が求められます。
インシデント対応においては、安全性(Safety)を最優先とし、IT部門、OT部門、生産技術部門が連携して対応する体制を構築しておくことが重要です。
中小製造業でも、限られたリソースの中で優先度の高い対策から着手することで、効果的なセキュリティ強化が可能です。外部支援も積極的に活用してください。
マルウェア感染対策完全ガイドと併せて、製造業に適したセキュリティ対策の実践に取り組むことを推奨します。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- OT環境の安全性(Safety)に関わる判断は、専門家にご相談ください。
- 実際にマルウェア感染の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 記載内容は作成時点の情報であり、脅威や対策手法は日々進化している可能性があります。
更新履歴
- 初稿公開
