製造現場のDX(デジタルトランスフォーメーション)やスマート工場化が標準となった現在、工場のセキュリティを取り巻く環境はさらなる激変期を迎えています。これまで、工場をターゲットにしたサイバー攻撃といえば、従来のランサムウェアやサプライチェーンの脆弱性を狙ったものが主流でした。しかし現在、攻撃者の手口は「生成AIの悪用」によってさらなる進化を遂げています。
また、欧州を中心に始まった厳格な国際サイバーセキュリティ規制の波が、日本の輸出企業やそのサプライチェーン全体に直接的な影響を及ぼし始めています。
変化する時事リスク1:生成AIの悪用による「見破れない攻撃」の誕生
現在、最も警戒すべき時事トピックの一つが、攻撃者側による「生成AI」の悪用です。
これまでのフィッシングメールやビジネスメール詐欺(BEC)は、不自然な日本語や文脈から違和感に気づくことができました。しかし、高度な生成AIを悪用することで、標的企業の業界用語や取引構造を完全に模倣した、極めて自然で巧妙な「標的型攻撃メール」が大量に自動生成されるようになっています。
さらに、工場の制御システム(OT)に関する公開マニュアルや技術文書をAIに学習させ、特定の工場設備に最適化された攻撃コード(マルウェア)を効率的に開発する手法も確認されています。
現場の作業員やシステム運用者が「サイバー攻撃であること」に気づかないまま、マルウェアが仕込まれたUSBメモリの接続や、不正なリモート接続を許可してしまうリスクが飛躍的に高まっています。
変化する時事リスク2:国際法規制の本格化とサプライチェーンへの波及
もう一つの大きな波が、法規制による「強制力」です。
欧州(EU)で採択された「サイバーレジリエンス法(CRA)」をはじめ、デジタル製品や工場設備に対するセキュリティ要件が世界中で厳格化されています。これにより、欧州市場に製品を輸出する、あるいは現地の工場と取引を行う日本の製造業は、自社製品だけでなく、その生産プロセス(=工場の製造ライン)におけるOTセキュリティの安全性を証明することが求められるようになりました。
「うちは国内向けの部品製造だから関係ない」というお声があるかもしれませんが、もはや他人事ではない。なぜなら、大手輸出企業(親会社)が国際規制をクリアするために、調達先である中小・中堅の工場に対しても、同等の工場のセキュリティ基準を満たすよう要求するケースが急増しています。
新たな脅威に立ち向かうために、今すぐ始めるべきアプローチ
生成AIによる高度な攻撃と、厳格化する国際規制。
この2つの潮流に対応するためには、従来の「境界線防御(社内と社外を分ける対策)」だけでは不十分です。
企業が今すぐ取り組むべきは、以下の2点です。
- 工場ネットワークのゼロトラスト化
「一度認証された接続だから安全」という前提を捨て、工場内の通信であっても常に監視し、異常な挙動(AIによって巧妙にカモフラージュされた通信など)をリアルタイムで検知できる体制を整えること。 - サプライチェーン全体のセキュリティアセスメント
国際基準(IEC 62443など)を意識し、自社工場のセキュリティレベルが現在どこにあるのか、取引先から求められる基準を満たしているかを客観的に評価すること。
信頼できるパートナーと共に、次世代の工場を守る
変化の激しいサイバー脅威や、複雑化する海外の法規制に自社だけで対応するのは極めて困難です。現場の運用効率を落とさずに、最新の脅威へ適応するためには、ITとOTの両方に精通した専門家との連携が欠かせません。
NTTセキュリティ・ジャパンでは、日々のセキュリティトレンドの分析から、工場現場の実態に即した具体的なソリューションまで、日本の製造業を支える包括的なサポートを提供しています。
現在のサイバー脅威のトレンドや、製造業が知っておくべき実践的な知見については、セキュリティマガジンでさまざまなトピックについてご紹介しています。
最新のセキュリティ情報を得るための情報源として、ぜひご活用ください。
また、「具体的に自社の工場ラインが国際基準や最新の脅威に対応できているか評価したい」という企業様向けに、通常数か月かかることが多いアセスメントプロセスをNTTセキュリティ・ジャパン独自のアプローチにより1.5か月で完了可能としました。「OTセキュリティ アセスメントQuick」
「専用の監視・防御ソリューションを導入したい」という企業様に向けて、実効性の高いサービスを体系化しています。詳細は「OTセキュリティ関連製品・サービス」よりご覧いただけます。
迫りくる新たな脅威を正しく恐れ、強固な工場のセキュリティ体制を構築することが、企業の持続的な成長と信頼を守る唯一の道です。
OTセキュリティ対策は 「現状把握と評価」から 工場の制御システムの弱点を見逃していませんか?
「セキュリティアセスメントは高価で・期間が長い・面倒」 と思っていませんか? 1.5ヶ月で完結する「アセスメントQuick」という最適解!
