サイバーセキュリティ研修委託ガイド│セキュケン
サイバーセキュリティ研修委託ガイド│セキュケン » 業界別に知るセキュリティ対策事例・研修 » 製造業におけるセキュリティ対策

製造業におけるセキュリティ対策

製造業がサイバー攻撃の標的にされる理由とは?

業界特有の要因や現状など、製造業がサイバー攻撃に狙われる背景を紹介します。セキュリティ対策を考える上での参考としてご確認ください。

増加するサイバー攻撃の背景と現状

製造業を狙ったサイバー攻撃が増加している理由として、DX推進によるデジタル化が挙げられます。近年のデジタル技術の発展に伴い、製造業もIT技術による自動化に取り組み、生産性・効率の向上を図っている現状があります。このように、工場のスマートファクトリー化によってインターネットに接続する機会が増加し、サイバーセキュリティ上のリスク増大につながっています。
また、複雑化するサプライチェーンやランサムウェア攻撃の変化などもサイバー攻撃増加の要因であり、中でもランサムウェアによる被害は特に製造業が多い傾向があります。警視庁によると、令和4年のランサムウェア被害件数230件のうち、製造業は75件(33%)と最も多い割合である(※)ことからも、製造業はサイバー攻撃への対策に課題を抱えていると考えられます。

※参照元:警視庁|令和4年におけるサイバー空間をめぐる脅威の情勢等について(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

製造業特有の脆弱性(IoT化・サプライチェーンの複雑化など)

製造業においては、従来は独立したネットワークにて運営されていたシステムが、デジタル化やDXの推進に伴いITネットワークに接続されるようになりました。しかし、OTシステム(制御システム)のセキュリティ対策が追いついていない場合、サイバー攻撃の被害に遭う可能性が高いといえます。
そのほか、複雑化するサプライチェーンにより取引先経由で被害を受けるケースがある点や、レガシーシステムが多く残存している点も、業界特有の脆弱性として挙げられています。

製造業におけるセキュリティリスクの実態

ここでは製造業において発生した、具体的な事例を紹介します。

製造業で起きた代表的なインシデント事例

<%-- H3直下にPタグがないため、このセクションにはspanを設置しません --%>

アルミニウム工場におけるマルウェア感染

2019年にノルウェーのアルミニウム製造大手で発生した事例です。この事例では「LockerGoga」と呼ばれるランサムウェアに感染し、生産・オフィス業務に影響が出ています。こちらの被害は、はじめの1週間で3億〜3億5000万ノルウェークローネ(4,000万ドル相当)と推定されています。

参照元:経済産業省|工場システムにおけるサイバーセキュリティ対策の検討状況について(https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_uchu_sangyo/pdf/005_05_01.pdf

部品製造会社がランサムウェアに感染

部品製造会社のサーバー群がランサムウェアに感染した事例です。こちらは部品製造会社の子会社がリモート接続機器の脆弱性を突かれ内部ネットワークを侵害されています。この事例では事業が停止し部品製造ができなくなり、取引先へ部品供給が止まったことで最終製品を製造する工場が1日稼働停止。工場停止による推定被害金額は500億円とされています。

参照元:独立行政法人 情報処理推進機構|実務者のためのサプライチェーンセキュリティ手引書(https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003vf5-att/f55m8k0000003vpz.pdf

情報漏洩・生産停止など、被害の深刻さ

製造業でセキュリティ侵害が発生すると、様々な影響を受ける可能性があります。例えば生産ラインが停止することによる損失や製品の品質の低下などのほか、技術情報や顧客情報といった企業にとって重要な情報の漏洩、顧客や取引先からの信用の失墜、サプライチェーン全体への影響の波及など、様々な影響が考えられます。
さらに、取引先や顧客への損害賠償や原因調査・関係や対応などに必要な事故対応費用など、経済的な損失が大きくなることもあります。

ITとOTの融合がもたらす新たな課題

製造業でDX化を進めていくには、IT(情報技術)とOT(制御技術)の融合が求められます。この2つが融合することによって、生産設備の情報を自動で収集できるなどのメリットが期待できます。
しかし、ITとOTの融合にあたっては様々な課題があります。例えばITとOTではセキュリティに対する考え方が異なる点に加えて、稼働停止ができない・古いOSを使用しているなどOT環境特有の制約、管理体制が縦割りの状態になっている、責任分界点が曖昧であるといった課題が考えられます。

製造業のセキュリティ対策|現場からマネジメントまでのアプローチ

実際に製造業にて効果的なセキュリティ対策を行う上では、現場の実務者から経営層に至るまで、それぞれの役割を認識した上での取り組みが必要となります。ここでは、それぞれの層ではどのような取り組みが求められるのかをまとめました。

実務者に必要な対策とスキルセット

製造業のセキュリティ体制を確立するには、IT側とOT側それぞれに適した対策を行う必要があります。具体的な対策としては、適切なアクセス管理や操作ログの管理、脆弱性の管理、不審なメールへの対応などの他、インシデントが発生した際の対応方法などセキュリティ運用の整備などが求められます。
また、製造業におけるセキュリティ対策の実務者には、ITとOTの両方にまたがる分野における知識とスキルが必要とされます。具体的にはネットワークセキュリティやサイバー攻撃に関する知識やOTに関する知識、インシデントへの対応能力のほか、ITとOT、製造現場や経営層との橋渡し役としてのコミュニケーション能力など様々なスキルが求められます。

マネジメント層が果たすべき役割と視点

セキュリィ対策を進めていく上で経営層や管理職などのマネジメント層の役割としては、まずは現在あるリスクを把握することが挙げられます。「自社にはどのようなセキュリティリスクがあるのか」を知り、その対策に必要なコストがどれくらいなのかを知ることが重要です。そのほか、セキュリティ対策に関する方針の決定やインシデント発生時の意思決定などもマネジメント層に求められる役割です。
セキュリティ対策を行ったからといって売上が増えるわけではありませんが、対策を怠ることで企業経営に多大な影響を与える可能性もあるため、まずは「セキュリティ=コスト」という意識を変えることが重要です

サプライチェーン全体を視野に入れたセキュリティ体制

自社でセキュリティ対策を行っても、委託先や子会社などの対策が不十分な場合、そこから侵入される可能性もあります。事業を守るためにも、サプライチェーン全体を視野に入れたセキュリティ対策が必要です。
具体的な対策としては、委託先の管理を強化する、契約時にセキュリティ要件を明記する、情報共有体制の構築、インシデント対応の合同訓練を実施するなど様々な取り組みが考えられます。

セキュリティ研修の重要性と選び方【業界に最適なプログラムとは?】

企業においてセキュリティ対策に関する研修は非常に重要です。ここでは、業界の特性や対象者に合わせた研修を選ぶためのポイントを解説します。

なぜ今、研修が重要なのか?導入のメリット

現在は標的型攻撃メールや内部不正など技術的な対策のみでは防ぎきれない脅威が存在します。この点から従業員一人ひとりの意識や知識も重要になるため、セキュリティ研修の実施が求められます
企業でセキュリティ研修を導入することにより、インシデントの予防や万が一発生した際の早期発見、対応力の向上などに加えて、セキュリティに関連するルールの形骸化防止、組織全体のセキュリティ文化の醸成など様々なメリットが期待できます。

実務者向けの研修事例と注目資格(CompTIA, EC-Councilなど)

IT担当者やOT担当者、一般従業員など、実務者向けの研修は、下記のような内容が考えられます。

セキュリティの知識やスキルに関連する資格として、ネットワークやセキュリティ、クラウドなどIT分野における資格「CompTIA」や、セキュリティの専門知識を認定・評価する資格「EC-Council」などが挙げられます。このような資格を取得することで、従業員のセキュリティ意識の向上に加え、スキルレベルを証明できるなどのメリットが期待できます。

マネジメント層向けのセキュリティ研修とその効果

セキュリティ対策に取り組む場合、経営層や工場長、部門長などマネジメント層への研修も重要です。
この層では、セキュリティ体制・予算の組み方に加え、インシデント発生時の情報連携や発信方法の確認など、マネジメント層としてどのような点を検討しておくべきかを知っておくことが必要です。また、セキュリティ投資判断や関連法規への理解なども求められます
マネジメント層への研修を実施することによって、有事の際の適切な意思決定やリーダーシップの発揮につながるとともに、全社的なセキュリティへの意識向上が期待できます。

製造業に適した研修の選定ポイント(費用・対象・実績など)

セキュリティに関する研修には様々なものがありますが、その中から自社に合った研修を選ぶポイントとしては下記のような点が挙げられます。

研修を起点にしたセキュリティ対策の継続的改善

セキュリティ対策に取り組む上では、一度研修を行って終わりではなく、研修をきっかけとして組織全体のセキュリティについて継続的な見直しを行い、改善に取り組んでいくことが大切です。

対策状況の点検・棚卸しの方法

研修実施後は、自社のセキュリテイ対策状況(セキュリティ対策のルール、体制、技術的な対策など)を定期的に点検・評価を実施することが大切です。点検・評価の方法としては、「チェックリストの活用」「脆弱性診断の実施」「内部監査」「外部専門家によるアセスメント」などが考えられます。

社内のセキュリティ意識をどう定着させるか

研修後は、「社内でどのようにセキュリティへの意識を定着させるか」を検討・実施します。研修の効果を持続させ、組織全体のセキュリティ意識を底上げ・定着させるには、下記のような施策が考えられます。

継続的なアップデートのためのチェックリスト

セキュリティ対策を継続的にアップデートしていくには、現状を確認し改善点を見つけるためのチェックリストの活用が有効です。簡易的なチェックリストの項目例としては、下記のような内容が考えられます。

定期的にチェックを実施し必要に応じて改善を行っていくことが重要です。

まとめ

製造業におけるデジタル化やDXの推進、サプライチェーンの複雑化などにより、サイバー攻撃が増加している現状があります。万が一攻撃を受けた場合には操業停止や情報漏洩による信用の失墜など様々なリスクが考えられるため、それぞれの企業において十分な対策を行っていく必要があります。
セキュリティ対策の第一歩は、リスクや脆弱性、対策レベルといった自社の現状を客観的に把握することです。この点から、セキュリティ診断やセキュリティアセスメントの実施により、自社の状況について知り、必要な対策に取り組んでいくことが非常に重要であるといえます。

   

サイバーセキュリティ研修会社
おすすめ3選

経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。

該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。

エンジニア向け
模擬攻撃を仮想環境で体験
“即戦力”を鍛えたいなら
Top Out Human Capital
Top Out Human Capital公式
画僧引用元:Top Out Human Capital公式
(https://www.topout.co.jp/)
研修の特徴

CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。

対応する資格・コースの一例

CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

マネジメント層向け
インシデント発生時の対応方法を
実践的に体験したいなら
ラック
ラック公式
画僧引用元:ラック公式
(https://www.lac.co.jp/service/education/)
研修の特徴

セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。

対応する資格・コースの一例

インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

経営者向け
セキュリティで企業価値を守る
経営者に必要な講座なら
ニュートン・コンサルティング
ニュートン・コンサルティング公式
画僧引用元:ニュートン・コンサルティング公式
(https://www.newton-consulting.co.jp/)
研修の特徴

企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。

対応する資格・コースの一例

経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

サイバーセキュリティ研修を受ける
対象者にあった
研修会社の選び方