製造業におけるデジタルトランスフォーメーションの台頭とIoTの広範な導入に伴い、ITとOT(Operational Technology:運用技術)のタスクはセキュリティの実装を通じて統合されます。 このような統合は、ワークフローを簡素化し、コストを削減できますが、同時に新たなセキュリティリスクをもたらします。この複雑さを管理するために、組織はITとOTを制御された調和の取れた方法で統合し、効率向上とセキュリティ対策のバランスが取れたソリューションを選択する必要があります。
スマートマニュファクチャリングは、生産能力を大幅に向上させ、効率性とカスタマイズ性の向上につながります」。 フォーブス誌によると、従来の製造業では生産の詳細に関する大量のデータを収集する必要がありましたが、IIoT(インダストリアルIoT)のような新しい革新的なツールを追加することで、システムデータのリアルタイム収集を自動化し、手動入力の複雑なプロセスを排除して、エラーを大幅に削減することで、状況を改善することができます。 さらに、MES(Manufacturing Execution System:製造実行システム)はこれらのデータを収集・解釈し、ERP(Enterprise Resources Planning:統合基幹業務)システムなどのビジネス統合システムにリンクさせ、業務効率と意思決定プロセスを最適化します。現在の製造業の状況を考慮すると、情報漏洩の最も一般的な原因は何でしょうか? デジタル統合の台頭により、製造業務に不可欠なOTシステムに対するサイバーセキュリティの脅威が増加しています。
ハッカーはより賢くなり、侵入ツールの自動化やAI化が進み、必要な技術的専門知識さえあればこれまで以上に簡単に製造システムを標的にできるようになっています。 彼らはネットワークに侵害し、データを破壊し、しばしば深刻な操業中断を引き起こします。 その結果、たとえ自身の身には起こらないと考えていたとしても、製造業はかなりの潜在的サイバー犯罪に直面しています。サイバー攻撃では、ハッカーがWebアプリケーションの脆弱性を突いて、重要なシステムや内部ネットワークおよびデータベースに保存されている機密情報にアクセスすることもあります。 ソーシャルエンジニアリングの手法で従業員を欺き、機密情報にアクセスすることで、企業のセキュリティを脅かす可能性もあります。
データは動的です。 ハイブリッドワークの世界では、ユーザーは無限のチャネルを通じてデータを処理・共有するため、不注意による情報漏えいの機会がかつてないほど増えています。 情報漏えいの機会は無限にあるように見えますが、インシデントの90%は組織の従業員が関与しているため、組織は最新のテクノロジーを活用して、積極的なセキュリティ文化の中で脅威に対応する戦略を策定することが不可欠です。 他のテクノロジーおよびテクノロジーサービス産業と比較して、スマート工場(製造業)が直面する情報漏えいリスクは、以下のような属性によって特徴付けられます。
- OT(オペレーションテクノロジー)とITの統合におけるセキュリティリスク
-
- セキュリティ設計が本質的に欠けている古いOTシステム
従来の製造業向けOT機器(PLC・SCADA・DCSなど)は、開発時の環境や生産要件などの理由から、通常は強化されたセキュリティメカニズムが組み込まれておらず、攻撃者に侵入されやすいため、情報漏えいの踏み台にされやすい。
-
- インダストリアルIoT(IIoT)デバイスの脆弱性
スマート製造業ではデータの収集と送信をIIoTデバイスに依存していますが、これらのデバイスは消費電力が低く、リアルタイムのデータ収集が必要なため暗号化されていない通信プロトコルや変更されていないデフォルトパスワードの使用など、厳重なセキュリティが確保されていないことも多く、情報漏えいのリスクにつながります。
- サプライチェーンとサードパーティパートナーのリスク
他の業界と比べても、製造業にはサプライチェーンに関して考慮すべきことが多くあり、これは製造業だけではありません。
-
- 外部からのサプライチェーン攻撃
製造のためには幅広いサプライヤーとデータを共有する必要があり、上流および下流に関わらずサプライヤーのセキュリティが不十分であればハッカーの突破口となり、間接的に上流下流のパートナー双方に影響を及ぼす可能性があります。
-
- 生産に関する機密情報の漏洩
スマートマニュファクチャリングでは、MES(製造実行システム)、ERP(統合基幹業務システム)などの専用サービスシステムを通じてデータが統合されますが、これらのシステムの権限が適切に管理されていない場合、機密情報(生産スケジュールやサプライチェーン戦略など)が流出する可能性があります。
-
- 増加する膨大なデータと非構造化データ
企業は大量のデータを生成しますが、その多くは非構造化データ(メール・文書・クラウドストレージ・メッセージングアプリなど)です。従来のDLPソリューションでは、機密データを正確に分類・追跡することが困難でした。
- マルチクラウドとハイブリッド環境
企業は複数のクラウドサービス(AWS・Azure・Google Drive・Dropboxなど)を利用しています。クラウド・オンプレミス・リモートの各環境で提供できるセキュリティ保護ルールに一貫性がないため、保護戦略の実施が困難です。
- BYOD(Bring Your Own Device)とリモートワーク
従業員が個人所有のデバイス(ラップトップ・スマートフォン・タブレット)で会社のデータにアクセスすることは、企業ネットワーク外でDLPルールを実施することを困難にしています。
製造業における情報漏洩の影響
- 事業の中断:製造業では1つまたは複数の工場が生産を停止すると、生産性と収益が失われます。
- 競合による窃盗:企業秘密や知的財産権の漏えいが発生し、競合に売却される可能性があります。
- 法令遵守:コンプライアンス要件に関連する法的リスクがあります。
しかしながら、スマートマニュファクチャリングの特殊性から、専用の情報漏洩防止(DLP)ソリューションの必要性はより積極的かもしれません。 企業が対策をしないのはサイバー犯罪者を惹きつけるような機密情報を扱っているとは考えていない、あるいは既存のセキュリティ対策に自信があるのかもしれません。 あるいは、リソースが限られていたり、業界のリスクレベルが比較的低いと認識しているため躊躇している場合もありえます。 製造業はサイバー犯罪の格好の標的であり、その目的は2つあります。 ハッカーにとっては、金銭的な利益を得たり、企業秘密を盗む機会が動機となります。
データ侵害でPII(Personally Identifiable Information:個人識別用情報)が盗まれるリスクは常にありますが、製造業はもう一つの課題、つまり知的財産権への脅威に直面しています。そのため、製造業は信頼性の高い情報漏えい対策(DLP)を講じるだけでなく、独自の技術や企業秘密を積極的に保護する必要があります。企業の知的財産権は、競合他社に差をつけるための貴重な資産です。 DLPソリューションは保護レイヤーを提供して、企業秘密やノウハウ・機密情報を制御された保護状態を確保します。 不正な開示や盗難を防ぐDLPは、貴社の知的財産を保護し、競合による複製の可能性を防ぎます。