製造業がサイバー攻撃の標的になる理由と、国が推奨する対策について解説
日本は「セキュリティ後進国」といわれているようにネットセキュリティが整ってない国として世界中から見られています。ハーバード大学の研究によると先進国主要10か国のうち、ネットセキュリティの意識の低さが日本は9位となっており、その事実が顕在化してしまっている状況です。
そのような中、近年では製造業を狙ったサイバー攻撃が増加しており、被害総額も大幅に増加しています。たとえばトヨタ車体や三菱電機など枚挙に暇がない量の企業がサイバー攻撃の被害にあっています。
もちろん中小企業も例外ではありません。なぜなら、セキュリティの甘い中小企業を、大企業を狙うための「踏み台」として連鎖感染させる「サプライチェーン攻撃」が多発しているためです。
今回は、なぜ製造業が狙われているのか、また国が提唱している対策について解説していきたいと思います。
製造業が狙われる理由~サプライチェーン攻撃~
日本IBMが公表している、サイバー攻撃の対象となった業界ランキング(「X-Force脅威インテリジェンス・インデックス2021」参照)において、製造業は2019年の8位から、2020年には2位に大きく順位を上げています。
日本に焦点を当てると、サイバー攻撃を受けた業界のうち、製造業が全体の39%を占め、これは2位の金融・保険業を大きく引き離しています。
では何故製造業が狙われるのか?
それは、製造業のサプライチェーンが長く、原材料の調達、製造、販売まで別会社、もしくは関連会社が担っていることがほとんどだからです。
近年では、サプライチェーンの一角を担う、ガードの甘い中小企業を狙ったサイバー攻撃が非常に増えています。ハッカーの狙いは大企業の情報で、大企業と取引実績のあるセキュリティが甘い中小企業が踏み台として利用されているのが要因です。
代表的な攻撃手段としては、メールによるものを挙げることが出来ます。また感染した端末のメール一覧を抽出し、取引先に本人を装ってマルウェアを添付したメールを送りつけるケースも多発しており、こういった攻撃メールの手口は年々巧妙化しています。
経産省がサイバーセキュリティ経営ガイドラインを制定
サイバー攻撃の巧妙化に伴い、ITの利活用が不可欠な全ての経営者を対象に、企業のサイバーセキュリティ対策強化を目的とした「サイバーセキュリティ経営ガイドライン」が制定されました。
ここでは「サイバー攻撃から企業を守るため、経営者が認識すべき原則」などについて取りまとめられています。
対策の具体例としては、次のような内容が挙げられています。
・「経営者と関係者(顧客や株主)・関連会社との間で、定期的にサイバーセキュリティリスクや対策について、適切なコミュニケーションを行う」
・「サプライチェーンに関わる各種企業や、パートナーと、サイバーセキュリティ対策を明確にしたうえで、コンプライアンスに基づいた契約を結ぶ」
実際、製造業においては、セキュリティ対策の底上げが加速しています。たとえば、我々が接点を待たせていただいております、下請け・孫請けなどの中小・企業様においても「セキュリティ対策をどうしているのか」とのヒアリングが定期的に寄せられているという企業様が増えています。この事からも、サプライチェーンの脆弱性、すなわち「ガードの弱い企業を狙った攻撃への対策・セキュリティ強化の動き」が強まっていることが分かります。
産業界全体でのセキュリティ対策推進機関の立ち上げ
2020年11月には「サイバーセキュリティ経営ガイドライン」に則り、個社レベルでなく、業界全体でサイバーセキュリティ対策に取り組む必要があることを示した「サプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)」が設立されました。
背景として、大企業のみならずサプライチェーンを構成する地域の中小企業であっても、サイバー攻撃の脅威にさらされている実情があるためです。
なお、SC3では、運営委員会の下にいくつかのワーキンググループが設けられており、主に次の内容が案として取り上げられています。
・「各地域の取り組みを共有する試み」
・「中小企業の対策強化について検討する試み」
・「サイバーセキュリティ分野の人材育成促進を図るための試み」
上記の取り組みからも分かるように、SC3では、中小企業のセキュリティ対策や意識の底上げを図る試みがよりいっそう強化されています。
皆さまにおすすめしている2つの対策
サイバー攻撃による、被害総額が年々増加する状況下において、皆さまにおすすめしている対策は次の2つです。
①社内教育の徹底
ハッカーはマルウェア(悪意のあるソフトウェア)を、WordやExcelなどの添付ファイルに忍び込ませて送ってきます(サイバー攻撃のおよそ9割がメールによる攻撃だといわれています)。
そのため、マルウェアの感染リスクを大幅に減らすには、社内でメール中心のセキュリティ研修を行ったり、社内での端末利用ルールの徹底など、社員全員への適切な行動を促す教育を定期的に行うことが大切となってきます。
たとえ、システム担当者のリテラシーがあっても、各社員のリテラシーがなければ、全く意味がありません。セキュリティ教育を行い、各社員にリテラシーを周知させることで、人為的な情報漏洩への対策にもつながります。
たとえば、数か月に1回、実際の攻撃メールに似せて作成した疑似攻撃メールを訓練対象者に送り、引っかからないかを確かめる「訓練」を行ったり、あるいは職場のルールに従った運用を徹底してみましょう。もちろん、OSのアップデートを必ず行うよう社内で徹底してください。
②「多層防御」によるセキュリティ対策を
ほとんどの企業では、アンチウイルスソフト、ファイアウォール機器、UTM機器等の入口対策製品を導入しています。
しかし、今日では1日に120万種の新種マルウェアが作られており、新種マルウェアに対しての入口対策の検知率は4~5割と言われています。また、入口対策だけでは、半分以上のマルウェアが社内のネットワークに侵入してしまうことが、セキュリティ業界の常識になっています。
経産省では、新種マルウェアへの対策、感染への気づく手段を持つために、入口対策だけではなく、複数のツールを使用することでクオリティの高いセキュリティを行う「多層防御」を推奨しています。
皆様も「多層防御」を行い、セキュアな環境で業務を行いましょう!
まとめ
今回のnoteでは製造業のサイバー攻撃事情や、産業界全体でのサイバー攻撃に対する取り組みと対策方法をご紹介しました。
弊社のセキュリティ対策プロダクトDDHBOXは、BOXを置くだけで官公庁と同等レベルのセキュリティ環境を構築でき、不正通信の検知・遮断を全自動・低コストで実現しています。
当社ではDDHBOXをはじめ、セキュリティ対策ならびにマルウェア感染調査にまつわるご相談を受け付けております。Webフォームより、お気軽にご相談ください。
DDHBOX 公式HP
デジタルデータソリューション株式会社 公式HP