製造業でのIoT活用が本格化していますが、同時に情報セキュリティが課題となっています。IoTなどのデジタル技術を活用する場合は、企業秘密や顧客情報を守るためにセキュリティ対策についても考えておきたいものです。

今回は、IoTを活用する製造業にとってのセキュリティ対策の重要性や、具体的な対策内容を紹介いたします。

IoT機器の導入によってセキュリティリスクは増加している

製造業では以前からPCなどの情報機器が使用されていましたが、製造現場内などの限られたネットワークに接続して運用されるのが主流でした。また、自社専用に独自開発したシステムを軸に運用されており、外部のシステムや機器と連携することはあまり多くありませんでした。そのようなクローズドな環境では、情報漏えいなどのセキュリティリスクは比較的低く、セキュリティ対策をしやすい状態にあります。

しかし近年の製造業では、設備やセンサ、RFID、カメラ、タブレットPC、スマートフォン、ウェアラブルデバイスなどのさまざまなIoT機器が活用されるようになりました。IoT機器はインターネットに接続して相互にデータをやり取りしたり、外部システムと連携したりするオープンな環境での運用が前提となります。外部と接続する機会が大幅に増加するため、サイバー攻撃による不正アクセスやマルウェア感染などのリスクが高まっているのです。

また、IoT機器は小型で必要最低限の機能に絞っているものが多く、PCのようにセキュリティ対策ソフトを導入する余裕がない場合がほとんどです。そのため、サイバー攻撃を行う犯罪者から狙われやすいものだといえます。

サイバー攻撃を受けてしまうと、企業秘密や顧客情報の流出、生産ラインの停止、誤作動による事故などのさまざまな被害が発生する可能性があります。実際に、2016年のアメリカでIoT機器を狙ったマルウェアの流行によって大規模な接続障害が発生した事例があり、IoTのセキュリティ対策の重要性が明確になりました。

サイバー攻撃の手法は日々進化しています。自社のセキュリティ対策は万全だと過信せずに、見直していく必要があるといえるでしょう。

IoT機器の導入に伴って新たなセキュリティ対策が必要になる

上述した通り、IoT機器を導入するとセキュリティリスクが増加するため、今までのセキュリティ対策のままでは不十分になる可能性が高くなります。IoT機器の導入に伴って、自社のセキュリティ対策を見直すのがよいでしょう。ここからは、実際にどのような対策を行うのがよいか紹介していきます。

IoT機器やシステムのセキュリティ対策を実施する

自社にIoT機器を導入する場合は、IoT機器自体のセキュリティ対策は必要不可欠です。総務省は2020年4月に「端末設備等規則（省令）」を改正し、パスワード認証などによるアクセス制御機能、初期設定のパスワード変更を促す機能、ソフトウエアの更新機能といったIoT機器に対する最低限のセキュリティ対策をメーカーに対して義務化しました。

　

ただし、あくまでも最低限のセキュリティ対策であるため、さらに強固なセキュリティ対策を施されたIoT機器を選定することで、セキュリティリスクを下げることができるでしょう。IoT機器は必要最低限の機能に絞っているものが多いため、セキュリティ対策を後付けするのが難しい傾向にあります。IoT機器は慎重に選定していただきたいです。

また、IoT機器と接続する既存のシステムや機器へのセキュリティ対策を行なうことも重要です。既存のシステムや機器のセキュリティレベルが低いままだと、それらがIoT機器を通じてサイバー攻撃を受ける可能性があります。OSやアプリケーションの更新がされていない古いPCなどが残っている場合は注意しておきましょう。保守期限切れによって不具合や脆弱性が残り続けている可能性もあるので、既存のシステムや機器の保守管理も見直しておくのが好ましいです。

サイバー攻撃からネットワークを守るセキュリティシステムを構築する

サイバー攻撃からIoT機器を利用する自社ネットワークを守るためには、次に挙げるような機能を有したセキュリティシステムを構築する必要があります。

• 自社のネットワーク構成を可視化する機能
• 数や種類の多いIoT機器を網羅してネットワーク内の端末を管理できる機能
• 許可されたデバイス以外からのアクセスを防ぐファイアウォール機能
• ネットワークに接続している機器の脆弱性を検知する機能
• 異常な通信ログを迅速に検知して監視する機能

　 　

ただし、セキュリティ対策に関するノウハウのない企業がこれらの機能を網羅したセキュリティシステムを構築することは困難な場合もあります。IoT機器も含めたネットワークセキュリティサービスを提供している外部の企業に相談することが有効です。

従業員に対するセキュリティ教育を実施する

どれだけ強固なセキュリティ対策をしていても、従業員が外部からマルウェアを持ち込んでしまったり、危険なファイルを開いてマルウェアに感染したりしては意味がありません。以前から重要視されているように、従業員に対するセキュリティ教育は引き続き実施する必要があります。

　 　

　 指定した機器以外はネットワーク内で使用しない、怪しいメールは開かない、といった基本的なセキュリティ対策を周知して、企業全体のセキュリティレベルを向上させる取り組みを行いましょう。

IoT機器の導入とセキュリティ対策はセットで行う

　 　

　 今回は、IoTの活用に伴って製造業のセキュリティリスクが増加していることや、どんなセキュリティ対策を行うのが好ましいか紹介しました。

　 IoT機器を導入するときは、セキュリティ対策もセットで行うと意識することが重要です。もし自社にノウハウがない場合は、外部のサービスを積極的に活用して、セキュリティ対策を十分に行うようにしましょう。