なぜ今、産業サイバーセキュリティが重要なのか?背景と具体的な事例、教育の必要性を解説【産業サイバーセキュリティトレーニング講師コラム①】
まえがき
1回目の今回は「なぜ今、産業サイバーセキュリティが重要なのか?」と題して、産業サイバーセキュリティの重要性と、なぜ産業サイバーセキュリティ教育が必要なのかについてご説明します。
はじめに
しかし、サイバー攻撃の標的は、個人だけでなく、企業、そして社会インフラへと広がっています。特に、製造業やエネルギー産業など、わたしたちの生活を支える産業へのサイバー攻撃は、深刻な被害をもたらす可能性を秘めています。
今回は、なぜ今、産業サイバーセキュリティがこれほどまでに重要視されているのか、その背景と具体的な事例、そしてなぜ産業サイバーセキュリティ教育が大事なのかについて解説します。
産業サイバーセキュリティとは?
従来のITシステムに対するサイバー攻撃の被害とは異なり、産業システムは物理的なプロセスを制御するため、サイバー攻撃によって生産ラインが停止し出荷するはずだった製品が出荷できなくなり売上が減少したり、電力会社の制御システムが停止してしまい電力が供給されず大規模停電が発生したり、物理的な影響を受ける可能性があります。
なぜ産業システム、重要インフラ業界を狙うサイバー攻撃が増えているのか?
産業システムや重要インフラ業界を狙うサイバー攻撃が増えている背景には、いくつかの要因が考えられます。
IoTの普及
工場のDX化やインダストリー4.0[2]の促進により、IoTデバイスの導入が進んでいます。従来の工場は産業システムをインターネットに接続することは想定されていませんでしたが、IoTデバイスの導入=インターネットやクラウドの利活用により業務効率や生産効率が向上する反面、脆弱なログイン設定のIoT機器への侵入などをきっかけに、サイバー攻撃のきっかけとなる入口が広がっています。
サプライチェーンの複雑化
自社のセキュリティ対策が万全でも、関係するサプライチェーン企業のセキュリティが脆弱だとその脆弱性をついて容易に企業システムや産業システムに侵入されてしまう可能性が高まります。
企業システムからサプライチェーン先と共有している機密情報を盗まれてしまったり、産業システムに攻撃を受けて部品工場の稼働が停止、部品を供給できなくなってしまいサプライチェーン先の工場も稼働停止に陥ってしまうなどサイバー攻撃に巻き込まれてしまう可能性があります。逆もまた然り、自社のセキュリティ対策が脆弱なせいで、関連するサプライチェーン企業の機密情報等が窃取されてしまうといった可能性もあります。
ランサムウェアの進化
ランサムウェアは、企業のデータを暗号化し、復号の代わりに身代金を要求するマルウェアです。近年、ランサムウェアはより巧妙化し、単にデータを暗号化するだけでなく、重ねて様々な要求をしてくる「N重脅迫攻撃」が横行しています。
二重脅迫
暗号化の際に機密情報等のデータを窃取し、未払い時にはデータを漏洩させると脅すケース
三重脅迫
ターゲット企業の顧客やパートナー企業に連絡し、ターゲット企業が身代金を支払わなければ顧客やパートナー企業の機密情報を漏えいさせると脅すケース
四重脅迫
身代金を支払わなかった場合、DDoS攻撃でパブリックサーバーをダウンさせると脅すケース
これらの攻撃は、企業の業務を停止させた上で、多大な損失をもたらす可能性があります。
地政学的な緊張
近年、国際的な地政学的な緊張が高まる中、サイバー空間が新たな戦場として注目されています。これは、サイバー攻撃が従来の武力衝突とは異なり、国の規模にかかわらず比較的低コストで実行できるが、社会インフラの麻痺等甚大な被害をもたらすことができるといった特徴を持つためです。
過去の代表的な産業サイバー攻撃事例
アメリカの大手パイプライン会社の産業システム停止(2021年、アメリカ)
アメリカの主要な石油パイプライン会社では、情報システムに対するランサムウェア攻撃により、結果として産業システムであるパイプラインの運用を停止しました。この攻撃により、アメリカ東海岸のガソリン供給に大きな影響を与え、ガソリン供給がされなくなったガソリンスタンドには長蛇の自動車の列が発生したと言われています。
大手自動車会社の生産ライン停止(2022年、日本)
国内の大手自動車会社では、複数の国内工場の生産ラインが停止するという大規模なサイバー攻撃を受けました。この攻撃は、海外の現地法人側のネットワークに侵入した攻撃者にランサムウェアを仕掛けられたことで発生したとされています。この事件は、日本の製造業におけるサイバーセキュリティ対策の重要性を改めて浮き彫りにしました。
これらの事例は、産業サイバー攻撃が企業活動ひいては国民生活にいかに深刻な事態を引き起こす可能性があるかを示しています。
人的要因が招くセキュリティインシデント
ここまで、「産業サイバーセキュリティとは」や「産業システムに対するサイバー攻撃事例」についてご説明をしました。では、なぜ産業サイバーセキュリティにおいて「教育」が重要となってくるのでしょうか。
実は、セキュリティインシデントの要因の多くが「人的要因」とされています。IPAが公開している「産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022-」[3]では、産業システムにおける10大脅威として「リムーバブルメディアやモバイルシステム経由のマルウェア感染」、「インターネットやイントラネット経由のマルウェア感染」「ヒューマンエラーと妨害行為」などがあげられています。
従業員が誤ってフィッシングメールを開いてしまいマルウェアに感染してしまうといったケースや、システムにおけるパスワードの使い回し、セキュリティに関する知識不足を起因とした設定・操作等も、インシデントにつながる要因となります。
以上より、セキュリティインシデントを予防するためには、従業員や関係者にセキュリティ教育を実施し、自社の産業システムに起こり得るサイバー攻撃と、それに伴う被害や損失について知ってもらう必要があります。なので、情報システム部門のみならず、産業システム部門や現場従業員等、関係者に広くセキュリティ教育を行う必要があるのです。
まとめ
今回は、「なぜ今、産業サイバーセキュリティが重要なのか?」と題して、産業サイバーセキュリティの重要性と、産業サイバーセキュリティ教育がなぜ必要なのかについてご説明しました。
次回は、産業サイバーセキュリティトレーニングの講師を担当しているわたしの、トレーニングで得た「気づき」についてご説明していきたいと思います!
【参考文献】
内閣サイバーセキュリティセンター(NISC)重要インフラとは
https://www.nisc.go.jp/policy/group/infra/policy.html
総務省 情報通信白書平成30年版 インダストリー4.0とは
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd135210.html
独立行政法人 情報処理推進機構(IPA)[ドイツBSI] 産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022
https://www.ipa.go.jp/security/controlsystem/bsi2022.html
【免責事項】
本コラムの内容はあくまでも一般的な情報であり、読者の判断材料を提供することを目的としています。本コラムに基づいて行われた行為によって生じた損害について、執筆者および弊社は一切の責任を負いません。あらかじめご了承ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service