製造業におけるサイバー攻撃対策の重要性は加速度的に高まっています。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10⼤脅威」。2022版における組織に対する脅威ランキング1位は「ランサムウェアによる被害」、2位は「標的型攻撃による機密情報の窃取」でした。
本記事では、上記の2大脅威を中心に、その概要と対策の基本を解説します。
まずはランサムウェア攻撃、標的型攻撃の概要を押さえましょう。
ランサムウェア(Ransom ware)は身代金を意味する「Ransom」とソフトウエア「Software」を掛け合わせて生み出された造語です。IT端末に不正なプログラムを送り込み、端末内のデータを使用禁止やアクセス不可の状態にし、復旧を条件に金銭を要求するのが典型的な流れとなります。
警察庁の広報資料によると、令和3年度のランサムウェアの被害件数は計146件(上半期61件、下半期85件)。そのうち38%にあたる55件が製造業における被害です。
標的型攻撃は、特定の企業・団体を「標的とする」サイバー攻撃全般を指し、ランサムウェア攻撃かつ標的型攻撃ということも少なからずあります。また、ランサムウェア以外にも情報の窃取や業務システムの乗っ取りなど標的型攻撃にはさまざまなパターンがあります。
事業規模が大きく価値あるデータを多く有している製造業は、DXの推進により外部ネットワークとの接続点が増加したことも相まって、標的型攻撃の対象となりやすい業界の筆頭です。また、サイバー攻撃の影響は一社だけに留まるものではなく、情報漏洩や操業停止といった事態が発生すれば被害はサプライチェーン全体に広がることになることも。
業界全体でサイバー攻撃対策への意識を高めることが求められています。
ランサムウェア攻撃、標的型攻撃の被害に合わないためにできることは、必要な対策を講じ、常にその水準を維持し続けることです。具体的には、以下のような対策が基本となります。
いずれも基本的なポイントであり、業務ネットワークを構築する際には必ず設定・ルール化されるはずです。しかし、その後の周知・アップデートについては十分に徹底されているでしょうか。
自社のシステムやルールにサイバー攻撃に対する脆弱性がいつでも生じる可能性があるという意識を持ち、その監視・対策に一定のコストを投じることが今後はより求められるでしょう。
脆弱性が生じやすいポイントとして特に気を付けたいのが、社内ネットワーク。前述の警察庁資料によると、ランサムウェアの感染経路の54%が「VPN機器からの侵入」、20%が「リモートデスクトップからの侵入」であり、リモートワークの要請などから広まった社内ネットワークの遠隔化が、企業にとって大きなリスクとなっていることが読み取れるのです。
情報処理推進機構(IPA)は政府の後押しを受け、通常100万円以上の費用がかかるという中小企業のECサイトの脆弱性診断を無償で実施することを2022年3月に発表しました。
私たちにできるのは、このような最新情報にアンテナを張りつつ、対策のスタンダードをアップデートし続けることでしょう。
おそらく、サイバー攻撃被害を100%防ぐことは不可能です。
冒頭で取り上げた「情報セキュリティ10⼤脅威 2022」には、ソフトウエアの脆弱性に対し対策が講じられる前に攻撃を行うゼロデイ攻撃が初めてランクインしました(7位)。また、3位にランクインした「サプライチェーンの弱点を悪用した攻撃」のように、社外から押し寄せる脅威もあります。
そのため、サイバー攻撃対策は、起こった場合の対応も含めて用意しておくことが不可欠です。
ランサムウェア攻撃の被害にあったとき、最も避けるべきは脅迫に応じて金銭を支払ってしまうことです。社会悪に利する行為であり、また金銭を支払ったからといって正直に暗号を教えてくれる保証もありません。
しかし、情報セキュリティに詳しくない社員が、突如画面に脅迫文が提示されたとき適切な対応を取ることができるでしょうか。
そのため、被害は起こりうること、生じた際の報告経路などについてガイドラインをつくり、窓口を用意しておくべきです。CSIRT(Computer Security Incident Response Team:シーサート)は企業・団体内に設置されるセキュリティ事故対策の専門チームで、サイバー攻撃被害の窓口となりますが、設置されていない企業も多く見受けられます。
インシデントは必ず起こるという前提を持って、サイバー攻撃に強い組織をつくりましょう。もちろん、ファイルのバックアップや機密情報の暗号化もその前提の下で行われるべきです。
製造業で特に押さえておきたいランサムウェア攻撃・標的型攻撃等のサイバー攻撃への対策の基本について解説しました。製造業は「標的にされやすい」という前提を持って、情報セキュリティ体制を構築していきましょう。もちろん、覚えのない添付ファイルは開かない、不審なウェブサイトにアクセスしない、といった個人レベルの対策をその意味とともに社員一人一人が理解することも重要です。