製造業が狙われる理由と被害の深刻さ
製造業が標的となる理由
製造業がランサムウェア攻撃の主要な標的となっている背景には、複数の要因があります。
- 生産停止による大きな損失が身代金支払い圧力に
- 工場の生産ラインが停止すると、1日あたり数千万円から数億円の損失が発生することがあります。この切迫した状況が、身代金支払いの圧力につながります。攻撃者はこの構造を理解し、製造業を優先的に標的としています。
- IT/OT統合によるリスク拡大
- スマートファクトリー化の進展により、従来は独立していた工場の制御システム(OT:Operational Technology)が、オフィスのITネットワークと接続されるようになりました。この統合により、オフィスPCへのフィッシング攻撃から工場システムへ侵入されるリスクが生じています。
- サプライチェーンの起点としての価値
- 製造業は複雑なサプライチェーンの起点となっています。一社が被害を受けると、取引先企業全体に影響が波及するため、攻撃の効果が大きくなります。また、サプライチェーンを踏み台にして大企業を狙う攻撃も増加しています。
被害の影響
製造業がランサムウェア被害を受けた場合、以下のような深刻な影響が発生します。
- 生産ライン停止
- 生産管理システム、MES(製造実行システム)、PLCなどが暗号化されると、製造が完全に停止します。復旧には数日から数週間を要することがあり、その間の機会損失は甚大です。
- サプライチェーン全体への波及
- 部品供給の停止は、取引先の生産にも影響を及ぼします。自動車産業のように「ジャストインタイム」方式を採用している業界では、一社の被害が数百社に波及することがあります。
- 知的財産・設計情報の漏洩
- 製品設計図、製造ノウハウ、特許関連情報などが情報漏洩すると、競合他社に技術が流出するリスクがあります。二重恐喝型ランサムウェアでは、暗号化に加えて情報公開の脅迫も行われます。
- 品質管理データの喪失
- 検査記録、トレーサビリティデータが失われると、出荷済み製品の品質証明ができなくなり、リコールや取引停止につながる恐れがあります。
製造業の被害統計
警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、製造業は業種別被害件数で最多となっています。
| 年度 | 製造業の被害件数 | 全体に占める割合 | 主な被害事例 |
|---|---|---|---|
| 2022年 | 75件 | 33% | 小島プレス工業、デンソー |
| 2023年 | 69件 | 31% | ニデック、HOYA |
| 2024年上半期 | 34件 | 30% | カシオ計算機 |
IT/OTネットワークの分離と管理
IT/OT分離の重要性
IT(Information Technology)とOT(Operational Technology)の分離は、製造業のランサムウェア対策における最重要課題です。
- OT(Operational Technology)の特性
- 工場の生産設備を制御するシステムで、PLC(プログラマブルロジックコントローラー)、SCADA(監視制御システム)、DCS(分散制御システム)などが含まれます。ITシステムと異なり、24時間365日の稼働が求められ、システム停止による更新が困難な特性があります。
- IT系からの侵入経路の遮断
- 多くのランサムウェア攻撃は、まずオフィスのIT環境(メール、VPN等)から侵入し、そこから工場のOT環境へ横展開します。IT/OTを適切に分離することで、IT環境が侵害されてもOT環境への被害拡大を防止できます。
- DMZ(非武装地帯)の設計
- IT環境とOT環境の間にDMZを設置し、直接通信を遮断します。必要なデータ交換はDMZ内のサーバーを経由して行い、通信を制御・監視します。
分離のアプローチ
IT/OT分離には、複数のアプローチがあります。組織の状況に応じて適切な方法を選択してください。
- 物理的分離
- ITネットワークとOTネットワークを物理的に完全に分離します。最も安全な方法ですが、データ連携の柔軟性は低下します。重要インフラや高セキュリティが求められる環境に適しています。
- 論理的分離(VLAN、ファイアウォール)
- 同一の物理ネットワーク上でVLAN(仮想LAN)により論理的に分離し、ファイアウォールで通信を制御します。柔軟性は高いですが、設定ミスによる脆弱性に注意が必要です。
- 一方向ゲートウェイの活用
- OT環境からIT環境への一方向通信のみを許可するゲートウェイを設置します。OTからのデータ収集は可能としながら、IT側からの侵入を物理的に防止します。
- データダイオードの導入
- 物理的に一方向通信のみを許可する装置です。データは出られるが入れない仕組みにより、外部からの攻撃を完全に遮断します。高セキュリティ環境で採用されています。
分離できない場合の対策
レガシーシステムの制約や業務上の理由から、完全な分離が困難な場合もあります。
| 対策項目 | 実施内容 | 効果 |
|---|---|---|
| 厳格なアクセス制御 | 最小権限の原則、多要素認証 | 不正アクセスリスクの軽減 |
| 監視の強化 | IT/OT境界の通信ログ監視、異常検知 | 早期発見・対応 |
| セグメント間通信の最小化 | 必要な通信のみ許可、ホワイトリスト方式 | 攻撃経路の限定 |
| エンドポイント保護 | OT端末へのEDR導入(可能な場合) | 端末レベルでの検知 |
IT/OT分離チェックリスト
| 確認項目 | 現状 | 対策 |
|---|---|---|
| IT/OTネットワークの境界は明確か | □明確 □不明確 | ネットワーク図の作成・更新 |
| 境界にファイアウォールは設置されているか | □あり □なし | ファイアウォールの導入 |
| OTからインターネットへの直接通信は遮断されているか | □遮断 □可能 | 通信経路の見直し |
| IT/OT間の通信は最小限に制限されているか | □制限 □未制限 | 通信ポリシーの策定 |
| 境界の通信ログは取得・監視されているか | □監視中 □未監視 | ログ収集・監視体制の構築 |
工場システムガイドラインVer1.1対応
経産省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
経済産業省は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開し、2024年にVer1.1への改訂を行いました。
- ガイドラインの位置づけ
- 工場のデジタル化・スマートファクトリー化が進む中、製造業が取り組むべきセキュリティ対策を体系的にまとめたものです。法的義務ではありませんが、業界標準として機能しています。
- 対象範囲と適用の考え方
- 主に中堅・大企業を想定していますが、中小製造業にも適用可能な内容を含んでいます。自社の規模・リスクに応じて、優先度をつけて対応することが推奨されています。
- 中小製造業への適用
- すべての項目への対応が困難な場合は、リスク評価に基づいて優先度を設定し、段階的に対応を進めることが認められています。
対応すべき主要項目
| 対策区分 | 主要項目 | 中小企業向け優先度 |
|---|---|---|
| 組織的対策 | セキュリティ方針策定、責任者の明確化、教育 | 高 |
| 技術的対策 | ネットワーク分離、アクセス制御、監視 | 高 |
| 物理的対策 | 入退室管理、機器の物理的保護 | 中 |
| サプライチェーン対策 | 取引先評価、契約条項、情報共有 | 高 |
| インシデント対応 | 対応計画、訓練、連絡体制 | 高 |
自己評価の実施
ガイドラインには自己評価用のチェックリストが付属しています。
- チェックリストの活用方法
- 現状のセキュリティ対策状況を評価し、ギャップを特定します。評価結果を基に改善計画を策定し、優先度の高い項目から対応を進めてください。
- 評価結果に基づく改善計画
- 一度にすべてを対応するのではなく、リスクの高い項目から段階的に改善することが現実的です。年度計画に組み込み、継続的に改善を進めましょう。
サプライチェーン経由の攻撃対策
サプライチェーンリスク
製造業特有のサプライチェーンリスクについて理解し、対策を講じる必要があります。
- 取引先・委託先経由の侵入
- セキュリティ対策が手薄な取引先を経由して、標的企業に侵入する攻撃が増加しています。VPN接続、ファイル共有、メール経由など、様々な経路が悪用されます。
- 自社が踏み台になるリスク
- 自社のセキュリティ対策が不十分な場合、大企業である取引先への攻撃の踏み台として利用される可能性があります。被害を与えた場合、取引停止や損害賠償につながるリスクがあります。
詳細はサプライチェーン経由のランサムウェア攻撃をご参照ください。
対策
- 取引先のセキュリティ評価
- 主要取引先のセキュリティ対策状況を定期的に評価します。質問票による自己評価、必要に応じた現地監査などの方法があります。
- 契約書でのセキュリティ条項
- 取引契約にセキュリティ要件を明記します。インシデント発生時の報告義務、最低限のセキュリティ対策の実施などを規定してください。
- インシデント時の連携体制
- 取引先でインシデントが発生した場合の連絡体制、対応手順を事前に取り決めておきます。自社への影響を迅速に評価できる体制が必要です。
- 情報共有の仕組み
- 業界団体やISAC(情報共有分析センター)を通じて、脅威情報を共有する仕組みに参加することを検討してください。
被害事例と教訓
小島プレス工業(2022年3月)
- 被害概要
- 2022年3月1日、自動車部品メーカーの小島プレス工業がランサムウェア攻撃を受けました。部品供給の停止により、トヨタ自動車の国内全14工場が操業停止に追い込まれました。
- 影響の規模
- トヨタの1日の生産停止による損失は約1万3千台とされ、サプライチェーン全体への影響の大きさを示す象徴的な事例となりました。
- サプライチェーンリスクの教訓
- 一次サプライヤーへの攻撃が、完成車メーカーの生産停止に直結することが明らかになりました。サプライチェーン全体でのセキュリティ対策の必要性が認識され、以降、自動車業界ではサプライヤーへのセキュリティ要件が強化されています。
ニデック(2024年)
- 被害概要
- 2024年、精密モーター大手のニデックがランサムウェア攻撃を受けたことが報じられました。グループ会社を含む広範な影響が発生しました。
- 対応と教訓
- グローバルに展開する製造業において、海外拠点を含めたセキュリティ管理の重要性が浮き彫りになりました。拠点間のネットワーク接続がリスクとなりうることが示されています。
その他の事例
| 企業名 | 時期 | 概要 | 主な教訓 |
|---|---|---|---|
| HOYAグループ | 2024年 | 生産・出荷に影響 | グローバル拠点管理 |
| カシオ計算機 | 2024年 | システム障害 | BCPの重要性 |
| デンソー | 2022年 | グループ会社被害 | グループ全体での対策 |
共通する課題
複数の被害事例を分析すると、以下の共通する課題が見えてきます。
- VPN機器の脆弱性が主要な侵入経路
- IT/OT分離の不十分さによる被害拡大
- サプライチェーン全体での対策の遅れ
- バックアップの同一ネットワーク保管による復旧困難
中小製造業向け優先対策5選
中小製造業でも実践可能な優先対策を、重要度順に整理しました。
| 順位 | 対策項目 | 重要度 | 実施のポイント | コスト目安 |
|---|---|---|---|---|
| 1 | VPN機器のパッチ管理 | 最高 | ファームウェアを最新に更新、定期的な確認 | 無料〜数万円 |
| 2 | IT/OTネットワークの分離 | 高 | 最低限ファイアウォールで分離 | 数十万円〜 |
| 3 | バックアップのオフライン保管 | 高 | 生産データ、設計データを分離保管 | 数万円〜 |
| 4 | 従業員のセキュリティ教育 | 中 | ソーシャルエンジニアリング対策を含む | 無料〜数万円 |
| 5 | インシデント対応計画の策定 | 中 | 連絡体制、初動対応手順の文書化 | 無料 |
よくある質問(FAQ)
- Q: 工場のPLCや制御システムもランサムウェアに感染しますか?
- A: PLC自体が直接感染することは稀ですが、PLCを制御するHMI(ヒューマン・マシン・インターフェース)やエンジニアリングワークステーションが感染すると、結果として生産ラインが停止します。また、IT系からの侵入により、PLCのプログラムが改ざんされるリスクもあります。OT環境への侵入経路を遮断することが重要です。
- Q: 古い制御システムのパッチ適用ができない場合どうすればよいですか?
- A: パッチ適用ができないレガシーシステムは、ネットワークから隔離することが基本です。専用セグメントに配置し、外部との通信を最小限に制限してください。可能であれば、一方向ゲートウェイやデータダイオードの導入も検討してください。中長期的には、システム更新の計画を立てることが望ましいです。
- Q: サプライチェーン評価は取引先にどう依頼すればよいですか?
- A: 業界団体が提供するセキュリティ評価フレームワーク(自動車業界のTISAXなど)を活用する方法があります。また、自社で質問票を作成し、主要取引先に回答を依頼する方法もあります。取引先との信頼関係を維持しながら、セキュリティ向上を働きかけることが重要です。一方的な要求ではなく、情報共有や支援を含めた協力関係の構築を目指してください。
- Q: IT部門とOT部門の連携はどう進めればよいですか?
- A: まず、両部門が参加するセキュリティ会議を定期的に開催することから始めてください。IT部門はサイバーセキュリティの専門知識を、OT部門は生産システムの知識を持ち寄り、協力して対策を進めます。責任分界点を明確にし、インシデント発生時の連携手順も取り決めておきましょう。
- Q: 中小製造業でも工場システムガイドラインへの対応は必要ですか?
- A: 法的義務ではありませんが、大企業との取引がある場合、サプライチェーン全体でのセキュリティ対策として求められることが増えています。経産省は2026年度から「サプライチェーン強化に向けたセキュリティ対策評価制度」の開始を予定しており、取引条件としてセキュリティ評価が求められる可能性があります。できる範囲から対応を進めておくことを推奨します。
まとめ:製造業が今すぐ実施すべきこと
製造業がランサムウェアの脅威から生産システムとサプライチェーンを守るためには、以下の対策を優先的に実施してください。
- VPN機器のファームウェア確認・更新(即時)
- IT/OTネットワークの分離状況の確認(1週間以内)
- バックアップのオフライン保管(2週間以内)
- 工場システムガイドラインの確認と自己評価(1ヶ月以内)
- サプライチェーンのセキュリティ状況把握(3ヶ月以内)
ランサムウェア対策の全体像については、ランサムウェアとは?仕組み・感染経路・対策を徹底解説をご参照ください。また、より詳細な対策についてはランサムウェア対策完全ガイドもあわせてご確認ください。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 各ガイドラインは最新版をご確認ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- J-CRAT(サイバーレスキュー隊)
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口やガイドラインは更新される可能性があります
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
