近年、企業での情報の流出やインターネット上のセキュリティが話題となっています。そして、製造業でもセキュリティ対策は大変重要です。大企業であれば一度セキュリティが破られると大規模な情報漏洩が生じます。中小企業であっても、ウィルスなどでシステムがダウンすると、業務に多大な影響を与えます。
ここでは、製造業のセキュリティについての概要と基本的な考え方について解説したいと思います。

製造業のセキュリティとは

製造業の「情報」をめぐる状況はこの20年で激変しています。ここでは、製造業の「情報」の特異性について解説し、なぜ製造業の「情報」が狙われるのかを解説したいと思います。

製造業特有の問題

20年前であれば、製造業のコンピュータ利用は、CADが主流でした。あるいは、せいぜいEメールでのやりとりぐらいでした。また、製造現場の品質データなどは定期的にフロッピーディスクに落としてオフラインで伝達していました。

また、設備やコンピュータがつながっていたとしても、専用回線でつながっていることがほとんどで、インターネットによって大規模な工場ネットワークを構築するということはあまりありませんでした。

しかし、この20年で状況は一変しています。工場全体をインターネットで結び、リアルタイムに近いスピードでデータの伝達が行われています。その結果クラウドサーバーに情報が集約され、分析や意思決定がデータを使って迅速に行われるようになっています。

つまり、製造業は近年「情報化」しています。そして、それは年々高度化しています。中小企業であっても、コンピュータを導入するのは当たり前で、様々なデータがそのコンピュータに集約されて蓄積されています。

このように、製造業ではたくさんの情報を集約して管理することで様々な業務の効率化をはかることができます。そのためこの「情報化」は近年ますます進んでいるのです。

なぜ製造業が狙われるのか

このように、「情報の集約化」が進むとその情報を分析することで、その企業の戦略や、財務状況などが明らかになります。そして、製造業では新製品情報や技術情報などの機密情報もクラウドサーバーに集約されていますから、このクラウドサーバーに何らかのトラブルがあると様々な業務に支障が出ます。

そのため、このクラウドサーバーは大変信頼性が高く、ハードウェア、ソフトウエア両面で大変堅牢に構成されています。とくにソフトウエアはセキュリティの観点から外部から簡単にアクセスできないように作られています。

しかし、何らかの手段で、このサーバーのセキュリティが破られると、クラウドサーバーがダウンしてしまい、情報が外部に流出してしまう可能性がでてきます。

その結果業務に支障が生じ、企業活動がストップしてしまいます。例えば、工場の操業がストップし、生産活動が止まってしまい、経営に支障をきたすということが考えられます。そして、それが多数発生すると、製造業全体の状況が停滞することで一国の経済状況に影響を与える可能性がでてきます。

また、機密情報が外部に流出し、競合がそれを入手して同じような製品や、その情報を利用したより競争力の高い製品を市場に投入するといった不具合が生じます。

製造業は我が国の「企業総売り上げ」の約4分の１を占める重要な基幹産業です。そのため、どんな中小企業であっても、セキュリティ対策は万全にしておかなければなりません。

サイバー攻撃の手口

サイバー攻撃の手口

以下に、サイバー攻撃の代表的な手口をいくつか簡単に説明します。

• フィッシング

フィッシングは、メールやウェブサイトなどを通じて偽の情報を送り、個人情報や機密情報をだまし取る手法です。一般的な手法としては、偽の銀行や企業のメールを送信し、ユーザーにパスワードやクレジットカード情報などを提供させます。

• ランサムウェア

ランサムウェアは、コンピュータやネットワークに侵入し、重要なデータを暗号化することでデータへのアクセスを制限する攻撃です。攻撃者はデータの復号化に対価として身代金を要求します。

• DDoS

分散型サービス拒否（DDoS）攻撃は、複数のコンピュータから同時に大量のデータをターゲットのサーバーに送信し、サービス提供を妨害する攻撃です。これにより、サーバーがオーバーロード状態になり、正規のユーザーのアクセスができなくなります。

• ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人々の心理的な弱点を悪用して、情報を入手する手法です。電話、メール、SNSなどを通じて信頼を得て、機密情報やアクセス権を不正に取得することがあります。

オフラインでの情報流出

情報の流出はインターネットを介したものだけではありません。「人」が直接社内の情報を持ち出すといったケースも近年増加しています。
これは、「オフラインでの情報流出」と呼ばれ、例えば、工場内を写真撮影し、ネットで拡散させる、あるいは、社員が退職時に機密情報を持ち出すといったケースがあります。

製造業のセキュリティ対策の考え方

サイバー攻撃に対する考え方

• データセキュリティの確保

機密データを保護するために、データへのアクセス制御、暗号化、定期的なバックアップ、セキュリティソフトウェアの導入などを実施しましょう。

• インターネット接続機器の保護

インターネットに接続されている機器はサイバー攻撃のリスクにさらされます。適切なファイアウォールの設置やセキュリティパッチの定期的な適用、不正アクセス対策の実施などが重要です。

• 取引先との連携

取引先もセキュリティ対策を徹底しているか確認しましょう。

• システムのモニタリングと脆弱性管理

システムの監視を定期的に行い、脆弱性スキャンや脆弱性管理を実施し、セキュリティリスクを最小限に抑えます。

• クラウドセキュリティの確保

クラウドサービスを利用する場合は、信頼性の高いプロバイダーを選択し、データのセキュリティを確保しましょう。

オフラインでの情報流出に対する考え方

• 従業員教育と意識向上

フィッシング詐欺やソーシャルエンジニアリングなどに対する従業員の教育は重要です。セキュリティポリシーの徹底や定期的なセキュリティトレーニングを実施し、従業員のセキュリティ意識を高めましょう。また、不審な訪問者や異常な行動の社員に対する注意喚起を行います。

• フィジカルセキュリティの強化

施設への不正なアクセスを制限するために、セキュリティカメラ、アクセス制御システム、セキュリティガードの配置などを検討しましょう。重要な機器やデータを保護するために、原始的ではありますが鍵を使用することも意外と有効です。

• データの暗号化

オフラインの情報流出に対する対策として、データの暗号化を導入することが重要です。暗号化されたデータは、盗まれても無効なものとなります。

• 緊急事態対応計画の策定

セキュリティ侵害や攻撃が発生した際の緊急事態対応計画を策定し、従業員が迅速に対応できるよう準備を整えましょう。

セキュリティ対策は信頼と疑いのバランスを取ることから

以上、製造業のセキュリティ対策について基本的な考え方を考えてみました。

日本のビジネス文化には信頼と誠実さが重要視されています。このような文化が組織内外の関係構築に役立つ一方で、時にはリスクをもたらすこともあります。そのため、一定のリスク管理や慎重さが必要です。

そのためには、コミュニケーションが大切です。特にオフラインでの情報流出に対処するためには日ごろからの信頼感の熟成によって、社員の不信感を排除することが大切です。

関係者に対する信頼と疑いのバランスを取って、業務に当たることが製造業のみならず多くの企業でのセキュリティ対策に最も重要な考え方なのではないでしょうか。