本レポートは、工場セキュリティ対策を事業継続とレピュテーションの観点から経営リスクとして捉えて解説するシリーズ連載です。
前回は、今なぜ工場セキュリティを考えるべきなのか。取り巻く環境変化で増大するリスクを述べました。続く第2回は、そのようなセキュリティリスクが企業の経営にどのようなインパクトを与えるのか。事業継続にフォーカスして解説します。

2021年5月に米国のエネルギー供給事業者が、サイバー攻撃により操業停止に追い込まれた重大事件がありました。サイバー攻撃で重要インフラが停止する—。あらためて、その甚大なインパクトに驚かされたことと思います。しかし、多くの製造業では、いまだに対岸の火事視する風潮があるのではないでしょうか。「自社に限って」 、「重要インフラとは事情が違うし」、「ちょっと騒ぎすぎじゃないか」、そのように考えている方も多いかもしれません。
ちょっと待ってください。そんな悠長なことを言っている場合ではありません。今や、ビジネス競争に勝つ手段として、サイバー攻撃が跋扈しているのです。
 

経営リスク-2-01

工場停止の攻撃シナリオ

ハッカー集団がランサムウェアを使ってターゲット企業を攻撃し、多額の身代金を請求する。昨今、そうした事件がニュースで話題となっています。しかも、攻撃は直接的なものに限りません。現在のサイバー攻撃はサービスとして分業化が進んでいます。攻撃者は、依頼者から指示された企業を攻撃し、それに対して報酬を受け取るという、あたかも業務委託のようなビジネスモデルまで存在するのです。
例えば、ビジネス競争の激しいハイテク産業では、競合他社との差別化を図るには多額の設備投資が必要です。そこで、いち早く新製品を投入し、市場のリードを試みます。しかし、競合他社もただ黙ってはいません。すぐにキャッチアップしてくるため、結局のところ価格競争が激化してレッドオーシャンに陥ります。
こうしたなか、グローバル化した競争環境では、「もっと簡単に競合他社に先んじることはできないのか?」 といった目的の手段として、サイバー攻撃が浮上しているのです。
もちろん、サイバー攻撃をビジネス手段として用いるのは、一部の悪質な組織だけです。
しかし、用心は必要です。

製造業にとって、サプライチェーンの密接な連携は欠かせません。その鎖のうち1つでも供給が滞れば、影響はチェーン全体へ波及します。安定した生産の維持は、ビジネス上の「当たり前品質」であり、あってしかるべき要件です。
そこで競合他社のサプライチェーンに対して、もっとも脆弱な1工場をサイバー攻撃で止めて連鎖を寸断させる。サイバー攻撃を請け負うハッカー集団にとって、それは確実に報酬の得られる、「おいしいビジネス」なのかもしれません。

経営リスク-2-02

必要な対策とは

サイバー攻撃というと、高度な技術により防御が突破され、被害が生じるリスクばかりが注目されがちです。ただ、実際のサイバー攻撃では、人の不注意やミスを誘導するソーシャルエンジニアリングが駆使されます。例えば、休日の工場へ工事関係者になりすましての初期侵入。サイバー攻撃は、技術的、人的、物理・環境的といった、セキュリティリスク全般にわたるのです。
そのため、工場のセキュリティ対策を考えるうえでは、工場組織全体の関与が必要です。OTのシステムを主管する技術部門はもちろんのこと、OTを利用する生産部門、OTのデータを活用する品質部門、外部のサプライヤーやベンダーなども含まれます。しかし、そうなると、あまりにも対象が広すぎて対策などできないのが現実です。
そこで原理原則となるのが、「必要な対策はリスクから導かれる」ということです。決して、「同業他社が実施しているから」、「予算が確保できたから」といった理由で対策を実施するものではありません。対策は、リスクの内容(影響の大きさ等)次第なのです。
では、工場でインパクトの大きいセキュリティリスクとは何か。それは、サプライチェーンを寸断するような、事業の継続性に関するリスクではないでしょうか。

経営リスク-2-03

BCPへのセキュリティ考慮

東日本大震災、そして新型コロナウイルス感染症のパンデミックによるサプライチェーン寸断などで、あらためてBCP(事業継続計画)の重要性に気づいた企業は多いはずです。形だけ整えたBCPでは、いざという時に全く役に立ちません。十分に中身のある(使える)ものにしておく必要があります。

  • 緊急用の在庫確保
  • 代替生産(他拠点、協力会社、同業他社)
  • 生産設備の復旧手順
  • 情報システムの復旧手順

例えば、上記に挙げた項目を策定したことで、「しっかりとしたマニュアルを整備しているから自社は大丈夫・・・」と安心していませんか?
そして、その対策は本当に万全なのでしょうか?
まず、BCPの発動は、地震や台風、パンデミックといった災害だけが対象ではありません。発動基準や想定リスクに、サイバー攻撃の被害が含まれているでしょうか?
また、OTに関わるシステムやネットワークの復旧手順などが、対策として適切に考慮されているでしょうか?
生産設備の復旧ではハード面ばかりが考慮され、アプリケーションソフトやデータ類の対策が大きく抜け落ちていないでしょうか?バックアップさえ考慮が漏れているOTは少なくありません。
「機械は元に戻ったけど、それを動かす制御システムが・・・」 サプライチェーン寸断の盲点は、OTセキュリティにあるかもしれません。

経営リスク-2-04

第3回では、サイバー攻撃で工場の生産に影響が出なくても、経営リスクとしてインパクトをもたらすレピュテーションを取り上げます。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

経営リスクで考える工場セキュリティ対策の重要性

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ