アイデアラボ
In an uncertain world, enterprises are repatriating their data
記事
2025/06/12
Listen to article
0:00
0:00
クリス・ラブジョイ、キンドリル グローバル セキュリティ&レジリエンシー リーダー
インダストリー4.0の時代において、製造業界は急速なデジタル化が進んでおり、戦略的計画からエンド・ツー・エンドのビジネスの遂行に至るまで、さまざまな業務にテクノロジーの導入が進んでいます。
生産性と効率性を向上させるためにIoTや自動化などのインダストリー4.0技術を採用している企業は、より多くのサイバーインシデントに遭遇する可能性があります。最近の世界経済フォーラムのレポート(英語)によると、製造業のエコシステムにおける接続性とデータの透明性が向上したことで、サイバー攻撃にさらされる機会が増大しています。そのため、製造業は3年連続で最も標的にされている業界であり、全攻撃の約26%を占め、そのうちの71%がランサムウェア攻撃です。製造業者がランサムウェア攻撃を受けて、工場が1日でも生産停止に陥れば、受注が遅れたり、ブランドの信頼性が低下したり、顧客が競合他社に流れる理由が生まれたりと、組織全体に影響を及ぼす可能性があります。
多くの製造業者が世界中で、米国のNISTサイバーセキュリティフレームワークやEUのNIS2指令、サイバーレジリエンス法など、重要なビジネスプロセスやデータ保護を目的としたサイバーセキュリティに関連する規制やガイドラインに直面しています。これらの規制を遵守することは困難であり(英語)、コストがかかります。
サイバー攻撃の脅威が高まり、規制強化に対するプレッシャーが増大するなかで、製造業者はサイバーレジリエンスを重視する必要があります。ここでは、製造業者がサイバーレジリエンスを強化するために実施できる4つの戦略をご紹介します。
1. Identify the minimum viable company
For manufacturers, the tolerance for operational downtime is very low and ensuring the business remains up and running is vital. It is critical to identify the assets that power the minimum viable company — or the bare necessities an organization needs to run critical business processes and the key systems and data that support them.
To be cyber resilient, manufacturing leaders must identify the most critical systems that are vital to operations. This could range from the systems that power the factory floor to the systems that power the supply chain required to obtain raw goods. These assets need to be protected at all costs. Additionally, it’s necessary to focus on time to recovery of the assets and determine the minimum amount of downtime that can be allowed for recovery systems to do the job. Once these foundational principles are determined, manufacturers can partner with experts to apply the right resiliency principles to the enterprise, such that the data and systems are always available and can be recovered reliably within the mean time to recovery.
2. レガシー資産を廃止する計画を立てる
製造業者はレガシーシステム(英語)に依存して業務を遂行しているため、定期的に資産を棚卸し、アップデートが必要なものを確認することが重要です。古くなったシステムには、重要なパッチが適用されなくなるなどの問題が発生する可能性があり、悪意のある攻撃者に対してより脆弱になります。また、設計上の想定よりも多くのワークロードを処理しているため、信頼性も低下します。
製造業のセクターは3年連続でサイバー攻撃の主な標的となっており、インシデントの約26%を占めている。 出典:製造業におけるサイバーレジリエンス文化の構築、世界経済フォーラムのレポート
産業組織に対するランサムウェア攻撃は2023年に約50%増加し、その71%が製造業者を標的としている。 出典:製造業におけるサイバーレジリエンス文化の構築、世界経済フォーラムのレポート
3. Conduct third-party risk management assessments
The manufacturing sector has a complex partner ecosystem that poses several potential cyber and compliance risks. If a third-party vendor can no longer supply critical inputs needed to produce goods by the manufacturers, operations could halt. The business could also be significantly impacted. It’s crucial to align the vendor risk-management strategy with the business objectives and consistently update the risk register and risk reporting. Have a map of the dependencies of third parties, as well as plans to obtain the necessary inputs if and when those third parties cannot provide the input.
3. サードパーティのリスク管理評価を実施する
製造業のセクターには複雑なパートナーエコシステムがあり、いくつものサイバーやコンプライアンスのリスクが存在しています。製造業者の製品を生産するために必要となる、重要なインプットをサードパーティ・ベンダーが供給できなくなった場合、生産が停止する可能性があります。また、事業にも大きな影響が及ぶ可能性が出てきます。ベンダーのリスク管理戦略と事業目標を整合させ、リスクの記録と報告を一貫して更新することが極めて重要です。サードパーティの依存関係をマップ化し、サードパーティがインプットを提供できなくなった場合に、必要なインプットを入手するための計画を立てておく必要があります。
4. サイバーレジリエンスの総合的な文化を構築する
サイバーインシデントのほとんどは、人間のミスによって攻撃者を意図せず助長することに起因しています。生成AI が現実的で最先端のフィッシング攻撃を実現することによって、不注意な人物を巧みに操るというリスクが高まっています。また、攻撃者は一般的な制御をよりうまく回避できるマルウェアを作成する機会を脅威アクターに与えています。サイバーセキュリティに対する意識を継続的に高めることは、組織の安全性と責任にとって非常に重要です。攻撃がより頻繁かつ巧妙になるにつれて、意識と理解も向上させていく必要があります。サイバーセキュリティに対する意識と健全な懐疑心の文化を育むことで、従業員は刻々と変化する脅威の状況を把握し、サイバー上の安全を維持できるようになります。
このような戦略は、製造業界がサイバー脅威から身を守り、デジタル時代におけるサイバーレジリンスの達成と、成功に役立ちます。
