DX TODAY自社メディア

警鐘が鳴らされている製造業へのサイバー攻撃。情報通信工学の第一人者である東京大学大学院教授の江﨑浩さんに最近の傾向や、サイバー攻撃を未然に防ぐために心掛けるべき点などお伺いしました。

──製造業に対するサイバー攻撃で多いのはどのようなものでしょうか。

江﨑　身代金要求型ウイルスといわれるランサムウェアです。
報道された中で一番規模が大きいのは、2018年に起きた半導体製造企業TSMCの被害で、損害額は最大190億円といわれています。日本においては、2022年にトヨタ自動車が操業停止に追い込まれ、大きな衝撃を与えました。公になるのはごく一部ですが、実際には多くの企業が被害を受けていると思われます。
ランサムウェアによる被害は、新型コロナウイルス感染症の流行とともに日本でも5年ほど前から急増しました。それまで工場はインターネットにつながっていないという前提だったのですが、在宅勤務により、工場で使うパソコンを家に持ち帰るようになったことが影響しています。セキュリティ対策をしていないパソコンを家でインターネットにつなぐことによって感染し、それを工場に持ち込んでしまうというわけです。
また、被害が急増した背景には、作業のロボット化が進んだこともあります。

──人手不足を始め、働き方改革などによる労働時間の短縮、人件費の上昇なども関係しているのですね。

江﨑　それに加えて、バイオやニューロテクノロジー、半導体といった先進産業はリスクとなる菌や熱源を工場に持ち込みたくないという理由から、人よりもロボットを導入するようになりました。
人はミスをしますし、情報漏洩などのリスクもあります。しかも最近はUSBなどデバイスが小型化したため、データの抜き取りやウイルスを仕込むといったことが簡単にできます。そういった人によるリスクがロボットにはないという理由です。
そうはいっても、ロボットにも様々なリスクがあります。今、ほとんどの装置がオンライン化し、かつネットワークにつながっています。すると1カ所が攻撃を受けると、全てにその影響が及ぶ可能性が高くなる。しかも技術はIoT（Internet of Things）からIoF（Internet of Functions）に移行しています。簡単に言うと、昔の装置は出荷された時からソフトウェアが変わらない、つまりガラケーのようなものだったのですが、今はスマホのようにどんどんアップデートされるなど、ハードは一緒でも中のソフトウェアが入れ替わります。アップデートしないまま使っていると、セキリュリティリスクはどんどん高まっていくのです。

ITとOTで認識が異なる
サイバー攻撃のリスク

──製造業では、サイバー攻撃はどのような点において脅威になるのでしょうか。

江﨑　一般的にはCIAといわれ、C（＝Confidentiality）は情報漏洩といった機密性、I（＝Integrity）は誤操作や品質低下などの完全性、A（＝Availability）は操業停止を指す可用性です。この3つはIT部門（情報システム）の視点から見たもので、製造ラインはまったく異なります。こちらはSQDCといわれ、S（＝Safety）は安全、Q（＝Quality）は品質、D（＝Delivery）は納期、C（＝Cost）は費用です。IT部門と現場ではそもそもの認識が違うことを理解しなければなりません。これができていないからIT（情シス）とOT（現場）の統合に苦労する企業が多いのです。
リスク管理にはコストがかかります。現場から見ると、何も起こっていないのにコストをかけるとそれが原価に跳ね返ってくる。さらにシステムの変更などにより、納期が遅れる可能性もあります。だったら現状維持でいいのではないかとなるわけです。
また、これは日本に限りませんが、サプライチェーンを最適化しました。シングルポイントだと、どこか1カ所が攻撃を受けると全部ダメになってしまうため、国をまたいでシングル・ポイント・フェイリアー（Single Point of Failure）にならないように複数のサプライパスを持つ冗長性を持った分散化を進めようとしています。すると、攻撃による打撃は減りますが、コストが上がってしまいます。 また、攻撃ポイントが増えることになるので、セキュリティリスクは増えてしまうかもしれません。非常に複雑な問題を解かなければならない経済安全保障とほぼ同じ話になるわけです。

──製造業のサイバーセキュリティ対策における課題は何でしょうか？

江﨑　日本の製造業には自ら様々な問題を「現場が解決してきた」という歴史と自負があり、そのため現場が強い傾向にあります。ですからまずはIT部門の担当者がOTの現場に行き、現場が考えるリスクについて理解し、その上で話を進めることが必要です。IT部門にCISO（最高情報セキュリティ責任者）やCIO（最高情報責任者）といった役職を作り、経営層が工場長や現場と話をすることも欠かせません。そしてもう1つ忘れてならないのは、機器やシステムの調達の際に自助、共助、公助の順番を間違わないことです。
例えば新しいシステムを導入するとします。その際、ベンダーの言われるままにしていないでしょうか。ファイアウォールが入っていると言われれば、それだけで安心してしまう。誰かが安全な環境を整えてくれるという考えが一番危険で、それはリスクを大きくさえするものです。サイバーセキュリティ対策は自然災害の対応と同じで、最初にやらなければいけないことは自助なのです。
「オープン技術を用いるよりも弊社の技術や製品によって同様のことが低コストでできる」、「希望の機能は他の機器だと提供できない」、あるいは「保守費用がプラスされる」、「この構成では動作保証の対象外になる」など、もっともらしいことを言って、セキュリティ対策が施されていないレガシーシステムを売りつけてくるケースが少なくありません。
まずは調達プロセスを見直すこと。自分で守るという意識を持って調べ、自身でできないなら周りに協力を仰ぐ共助、もし社員が対応できないなら、外部に依頼するという公助という順番で進めます。この順序を間違えないことがもっとも重要です。

──今後も増えると思われる、製造業を標的としたサイバー攻撃ですが、どのような準備が必要でしょうか？

江﨑　DXが進むにつれて、サイバー攻撃は確実に増えていきます。とくに工場のシステムは箱入り娘のようなもので、これまで外部からの侵入や攻撃を心配する必要がなかった。ところがIoTデバイスやロボットなどの導入により、攻撃者が侵入するポイントが増え、製造業は今や格好のターゲットになっています。しかも述べたように、USBなど小型のデバイスを使って簡単に侵入できるので、悪意を持たない人が感染者になることさえあります。そのような状況に対処するには、適したフレームワークを持つことが必要です。自身で攻撃者と戦うことが可能な放蕩息子（これは、ゼロ・トラストに対応します）に進化しなければならないのです。
よく使われる、計画（Plan）、実行（Do）、評価（Check）、改善（Action）の順にループを回すPDCAサイクルは、日本の製造業ではなかなか難しいのが実情です。というのは、PDCAはトップダウンによる考え方であり、かつ老舗企業はシステムや機械が古く、すべてを一気に新しいものに変えるのが難しいからです。その上、デジタルの世界は変化のスピードが速く、環境はすぐに変わってしまいます。
そこで注目したいのが、観察（Observe）、方向づけ（Orient）、意思決定（Decide）、実行（Act）で回すOODAループです。こちらはどこから始めてもよく、かつ後戻りもできます。プロセス間を行き来して進めることができるため、状況に応じて現場が優先度を判断し、対策を行うことができます。
　いずれにせよ完璧なセキュリティはありません。攻撃されることを前提に、自助から始めることが大切です。

サイバー攻撃から守る基本は“まず自助”。
経営層は現場の理解と将来への投資を

RECOMMEND

デジタル化によって世の中はどう変わるか。その本質を様々な切り口で解説。「デジタルのセキュリティについてなど、DXを進める上での基本がわかります」と江﨑さん。

「サイバーファースト 増補改訂版 インターネット遺伝子が創る　デジタルとリアルの逆転経済」
江﨑浩著
インプレスR＆D
￥2,420（税込）

PROFILE

東京大学大学院
情報理工学系研究科 教授 江﨑 浩さん Hiroshi Esaki

専門は情報通信工学。次世代インターネットの規格策定からネットワークの実践応用まで、研究・活動範囲は多岐にわたる。WIDEプロジェクト代表。東大グリーンICTプロジェクト代表、日本ネットワークインフォメーションセンター理事長、日本クラウドセキュリティアライアンス(CSAジャパン)会長、デジタル庁 初代Chief Architectなどを兼任。