2025年、製造業は4年連続でサイバー攻撃者の最大標的となった。マーシュ・マクレナンとの提携により作成された最新のDragosランサムウェア報告書によると、製造業は産業界全体のランサムウェア事案の3分の2以上(68%)を占めた。
この数字は警鐘を鳴らすと同時に、示唆に富んでいる。労働力とスキルの不足からサプライチェーンの混乱、変化する顧客の期待まで、デジタル化は製造業が直面する最も差し迫った課題の多くを解決する鍵を握っている。しかし、業界の技術革命が加速する中、問題はサイバー事案が発生するかどうかから、発生した際にメーカーがどれだけ準備できているかへと移行している。
コスト優先からの脱却
これにより、リスクのルールが書き換えられつつある。何年もの間、何よりもコスト管理に注力してきた製造業は、今や柔軟性と回復力を優先しなければならない。これは、変化するプロセスや技術に合わせた資本戦略を構築すると同時に、新たなソリューションの導入がサイバー脆弱性の新たな領域をもたらすことを認識することを意味する。
運用技術(OT)の場合、これらの脆弱性は物理的リスクとデジタルリスクの両方を伴う。生産ラインの停止や出荷の遅延から、サプライヤーへの支払いや顧客注文の処理ができないシステムまで、その範囲は多岐にわたる。いずれの場合も、計画外のダウンタイム、重大な財務損失、評判の毀損により、結果は壊滅的なものとなり得る。
さらに、新たな相互接続の時代では、小さな混乱でさえ雪だるま式に拡大する可能性がある。例えば、メーカーのERPシステムを考えてみよう。支払いを発行できなければ、サプライヤーも停滞する。配送を受け入れられなければ、原材料が滞留する。そして注文が出なければ、流通業者や顧客への約束が果たされない。
MESでの従業員のミスやロボットの設定ミスといった単純なことでさえ、その影響は単一の組織をはるかに超えて及ぶ可能性がある。最近の英国でのサイバー侵害の影響は、約700社に波及した。これが今の現実だ。エコシステムのあらゆるノードに影響を及ぼす、システミックで連鎖的な事案である。そしてそのエコシステムの一部が機能しなくなれば、顧客の信頼を急速に損ない、パートナー関係を脅かし、さらには法的な結果を引き起こす可能性がある。
防御を強化する5つの方法
この新しい事業環境で成功するには、製造業は保険や緊急時対応計画以上のものが必要だ。代わりに、企業全体でリスクを軽減するための実践的で積極的なアプローチを採用しなければならない。このアプローチは、以下の5つの管理策に基づくべきである。同じDragos報告書によると、これらは組織が直面するリスクを2桁削減する効果があることが示されている。
1. 企業の筋肉記憶を構築する
優れたインシデント対応計画により、企業は問題を隔離し、業務を迅速に復旧し、拡散を最小限に抑えることができる。製造業は、計画が十分に実践され、明確に理解され、工場現場からエンジニアリング、プラント管理まで、企業全体ですぐにアクセスできるようにする必要がある。
2. 適切なアーキテクチャに投資する
組織は、OTを取り巻くアーキテクチャを高度に意識する必要がある。これは、脅威が連鎖する前に検出、吸収、またはブロックする意図的な防御層を設計することを意味する。システムの相互接続性が高まるほど、その設計はより慎重でなければならない。
3. あらゆる場所で何が起きているかを監視する
OT環境における死角は、警告サインの見逃しや対応の遅れにつながる可能性がある。脅威監視は、顧客や内部ネットワークを超えて、リスクチームに組織のエコシステム全体の完全な可視性を提供し、より迅速で賢明な意思決定を可能にする必要がある。
4. リモートアクセスを厳重に管理する
デジタルインフラが拡大するにつれ、リモートアクセスの必要性も高まる。しかし、これはサイバー犯罪者にとって新たなアクセスポイントも生み出す。安全なリモートアクセスは最も重要な管理策の1つであり、誰がメーカーのシステムに入れるか、何ができるか、そしてその間どのように監視されるかを保護する。
5. リスクに基づいて優先順位をつける
製造業は、コスト指標によるリスク価値の評価から、ビジネスに回復力と復旧をもたらす方法へと移行しなければならない。脆弱性管理は、単なる定期的なパッチ適用ではなく、重要なシステムの保護に基づくべきである。複数の接点がある環境では、成功はすべてを修正することではなく、本当に重要なものを修正することにかかっている。
自社の枠を超えて
これら5つの管理策により、製造業はエクスポージャーを削減し、重大な事案の発生を防ぐ具体的な方法を得られる。しかし、これらは企業自身の枠を超えて適用された場合にのみ、真に効果的となる。サイバーセキュリティは、もはや個別のコンプライアンスの問題ではなく、サプライヤー、流通業者、ディーラーを含むバリューチェーン全体の集団的な回復力の問題である。
したがって、リーダーは次のような質問をすべきである。サプライヤーの軽減計画は何か。彼らの保険はどのようなものか。OTリスクをどのように管理しているか。侵害の影響がすべての人に及ぶのであれば、説明責任も同様でなければならない。
ここには評判上の利点もある。エコシステムリスクを真剣に受け止めていることを示すことで、製造業は保険会社、サプライヤー、株主、さらには自社の取締役会を含むステークホルダーの間で信頼を高めることができる。これらのアイデアやフレームワークは同業者と共有することもでき、業界全体の回復力を強化する。
未来に向けた標的
近年の状況から判断すると、製造業はしばらくの間、最もサイバー攻撃を受ける組織であり続けると予想される。業界の相互接続されたシステムは攻撃者に複数の侵入ポイントを提供し、ダウンタイムへの低い許容度はランサムウェアの完璧な標的となる。
しかし、これは恐怖ではなく、行動の触媒となるべきである。防御ツールとデータソリューションは利用可能であり、リスクマネージャーは、CISO、プラント運営、エンジニアリング、財務、法務を統合し、組織のビジネスモデルに回復力を組み込む学際的な取り組みにおいて重要な役割を果たすことができる。業界が変革を続ける中、未来を定義するのは、最もスマートな工場を構築する者ではない。それを最もよく保護する者である。
