製造業が実施すべきサイバーセキュリティ対策

製造業は今、かつてない規模のサイバーセキュリティの脅威に直面しています。

2025年に公表されたセキュリティインシデントの業種別分析(※)では、製造業が全体の約5分の1を占め、全業種の中で最も多くの被害を受けています。この事実は、製造業がサイバー攻撃者にとって魅力的なターゲットとなっていることを明確に示しています。

なぜ製造業がこれほど狙われるのでしょうか。その背景には、工場のスマート化(DX化)による外部ネットワークへの接続増加、レガシー(古い)システムの脆弱性、サプライチェーン全体の複雑性など、複数の要因が絡み合っています。

本記事では、製造業が直面するサイバーセキュリティの課題を整理し、実践的な対策について解説します。

※日本ネットワークセキュリティ協会（JNSA）「インシデント損害額調査レポート 別紙 2025年版」
(https://www.jnsa.org/result/incidentdamage/202507.html)

製造業が狙われる理由とその深刻な影響

スマート化がもたらしたリスクの拡大

製造事業者の情報システムは、従来のオンプレミスシステム中心の自前主義から、環境変化に機敏に対応できるクラウドサービスの活用へと移行しつつあります。この変化は業務効率を大幅に向上させる一方で、新たなセキュリティリスクを生み出しました。

IoT(モノのインターネット)やAI技術の導入により、製造現場では予知保全や歩留まり向上といった付加価値が生まれています。しかし同時に、従来は閉じられたネットワーク内で完結していた制御システムが、外部ネットワークと接続されることで、サイバー攻撃の標的となるリスクが飛躍的に高まっているのです。

攻撃手法の高度化と多様化

製造業に対する攻撃の56%がランサムウェア被害で、攻撃後にデータが暗号化される割合は過去3年間で最も高く、3分の2以上の攻撃でデータが暗号化されています。 ランサムウェアとは、企業の重要データを暗号化し、その解除と引き換えに身代金を要求するマルウェアです。製造業では生産ラインの停止が直接的な経済損失につながるため、攻撃者にとって身代金を支払わせやすいターゲットとなっています。

さらに深刻なのは、単なるデータ暗号化だけでなく、データの窃取も同時に行われる「二重脅迫」が常態化している点です。暗号化されたデータの復旧だけでなく、盗まれた機密情報の流出を防ぐという二重の圧力がかけられるのです。

工場停止による経済的損失

製造業におけるサイバー攻撃の影響は、単なる情報漏洩にとどまりません。生産ラインの停止は、一日あたり数千万円から数億円規模の損失を生み出す可能性があります。

ITセキュリティとOTセキュリティの違い

OTとは何か

OT(Operational Technology)とは、製造現場やプラントで用いられる設備やシステムを制御・運用する技術のことであり、代表例としてPLC(プログラマブルロジックコントローラ)やSCADA(監視制御およびデータ収集システム)、DCS(分散制御システム)などが挙げられます。

これらのシステムは、工場の生産設備を直接制御しており、その停止や誤作動は生産活動全体に甚大な影響を及ぼします。

ITとOTの根本的な違い

両者には以下のような重要な違いがあります。

優先事項の違い

ITシステムでは「機密性」が最優先されます。情報が適切に保護され、権限のない者がアクセスできないことが重要です。

一方、OTシステムでは「可用性」が最優先されます。システムが常に稼働し続け、生産活動を止めないことが何より重要なのです。

管理体制の違い

ITは主に情報システム部門、OTは製造部門が管理していることが多く、それぞれ管理している領域も人も違うため、お互いの環境についてはよく知らないケースがほとんどです。

この縦割り構造が、包括的なセキュリティ対策の実施を困難にしています。

更新頻度の違い

IT領域にあるPCはOSが約3〜5年程度で更新され、セキュリティパッチも頻繁に更新されます。一方OT領域にあるPCは稼働優先で電源を落とせない、製造機器の設計ソフトが最新OSに対応していないなどの理由から、何年何十年も更新されていないレガシーOSが使用されているケースが非常に多いです。

この古いシステムは多数の脆弱性を抱えており、サイバー攻撃の格好の標的となっています。

サプライチェーン攻撃

製造業において特に深刻なのが、サプライチェーン攻撃です。

サプライチェーン攻撃とは

サプライチェーン攻撃は、サプライチェーン上の事業者間のつながりを悪用するサイバー攻撃です。大手企業と取引している企業の中には、大企業ほど厳重なセキュリティ対策を講じていない中小企業が少なからず存在するため、攻撃者はこうしたセキュリティ対策が手薄な企業を狙って侵入を試みます。

攻撃の3つのパターン

サプライチェーン攻撃は、主に以下の3つの形態に分類されます。

ビジネスサプライチェーン攻撃

取引先企業や関連会社を経由して標的企業に侵入する手法です。セキュリティレベルの低い中小企業を踏み台として利用します。

ソフトウェアサプライチェーン攻撃

ソフトウェアの製造工程や流通工程においてプログラムに不正なコードを混入させ、ユーザーや企業に攻撃を仕掛ける手口です。アップデートプログラムに不正なコードを仕込むため、ユーザーが気づかないまま攻撃が実行されます。

サービスサプライチェーン攻撃

クラウドサービスやマネージドサービスのプロバイダーを経由した攻撃です。

なぜサプライチェーン攻撃が増加しているのか

サプライチェーン攻撃は、2019年に初めてIPAの「情報セキュリティ10大脅威」で4位にランクインし、2023年～2025年には3年連続で2位にランクインしています。
この増加の背景には、以下の要因があります。

• テレワークの普及による外部アクセスポイントの増加
• M&A活発化によるセキュリティ基準の混在
• グローバルサプライチェーンの複雑化

中小企業が「自社は小さいから狙われない」と考えることは、もはや危険です。むしろセキュリティ対策が手薄な中小企業こそが、大企業への攻撃の入り口として狙われているのです。

製造業が実施すべき具体的なセキュリティ対策

経済産業省が2022年に策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」では、以下の段階的なアプローチが推奨されています。

ステップ1:自社の工場システムの構成要素、情報フロー、既存のセキュリティ対策を整理
ステップ2:NISTサイバーセキュリティフレームワークなどを参考に、対策方針を策定
ステップ3:システム構成面と物理面の両方から、具体的な対策を立案・実施

システム構成面での対策

侵入防止

• ファイアウォールやIDS/IPS(侵入検知・防止システム)の導入
• ネットワークの適切なセグメント化
• VPNの脆弱性対策とアクセス制御の強化

活動抑止

• 多要素認証の導入
• 最小権限の原則に基づくアクセス制御
• 異常な通信や操作の検知・遮断

影響範囲の限定と早期復旧

• データの定期的なバックアップ
• 復旧手順の文書化と定期的な訓練
• セグメント化による被害の封じ込め

物理面での対策

• 工場エリアへの入退場管理の徹底
• USBメモリなど外部記憶媒体の持ち込み制限
• 監視カメラの設置
• 作業員への定期的なセキュリティ教育

OTセキュリティの強化

OTネットワーク内の機器と通信を可視化することが最優先です。エージェントレス型の監視ツールを活用すれば、既存システムに影響を与えることなく、ネットワークの状態を把握できます。

サプライチェーン全体でのセキュリティ強化

取引先との契約においてセキュリティ対策の内容を明確に定め、定期的な監査を実施することが重要です。業界団体との情報共有活動にも積極的に参加しましょう。

人材育成とセキュリティ意識の向上

• フィッシングメール訓練の実施
• インシデント対応訓練
• IT部門とOT部門の連携強化

製造業が取り組むべき現実的な対策

優先度の高い基本対策

• 定期的なバックアップの実施と復旧テスト
• OSやソフトウェアの更新(可能な範囲で)
• 強固なパスワードポリシーの設定
• 多要素認証の導入
• 従業員へのセキュリティ教育

外部リソースの活用

すべてを自社で対応することは困難です。SOC(セキュリティオペレーションセンター)サービスや運用サービス付きセキュリティ製品の活用を検討しましょう。

製造業のセキュリティに関するよくある質問

Q1. 小規模な製造業も本当にサイバー攻撃の対象になるのですか?

A. はい、小規模であっても攻撃対象になります。大企業への攻撃の踏み台として中小企業が狙われるケースが増加しており、大手メーカーとの取引がある場合、その接続ポイントこそが攻撃者にとっての価値となります。従業員数50名以下の中小企業でも、ランサムウェアによる被害が多数報告されています。

Q2. OTセキュリティ対策導入時に生産ラインを停止する必要がありますか?

A. エージェントレス方式の監視ツールを使えば、各機器にソフトウェアをインストールすることなく、ネットワークのトラフィックを複製して監視できるため、既存システムに影響を与えずに導入できます。ただし、古いOSのアップデートなどは計画的なメンテナンス時間を確保する必要があります。

Q3. セキュリティ対策にどのくらいの予算を確保すべきですか?

A. 一般的にはIT予算全体の5〜15%をセキュリティに充てることが推奨されています。ただし、取り扱う情報の機密性、サプライチェーンにおける位置づけ、生産停止による損失額などによって適切な水準が異なります。予算が限られている場合は、優先度の高い対策から着手し、段階的に投資を拡大していく方法が現実的です。

まとめ