未曾有のストレスの中で社会的・経済的安定を維持するために製造業が極めて重要な役割を果たしている近年の混乱の中、一部の活動の機会をねらっている悪質業者は利益を得るための肥沃な土壌に目をつけています。
組織に対するランサムウェア攻撃は、2021年に世界全体で105%増加しました。この間、製造業は活動の矢面に立たされ、「最も攻撃された」産業として金融サービスにとってかわりました。サイバー犯罪者は、急速なデジタルトランスフォーメーションの過程にある企業がさらけ出したサプライチェーンの脆弱性と弱点を利用しようとしました。
このような攻撃は当分なくなりそうにありません。業務の妨害、貴重な情報の窃取、企業の恐喝など、サイバー攻撃を実行するためのコストと障壁は非常に低く、悪意のある行為者は、成功するまで実証済みの悪用を何度も繰り返すだけで良いのです。したがって、製造業のリーダには、組織のセキュリティの敷居を高くして、サイバー攻撃者が利用できる表面を小さくする責任があるのです。
一般的な産業環境は、サイバー犯罪者にとって魅力的なターゲットです。老朽化した運用機器と複雑で未経験のITシステムが混在しているため、予期せぬ脆弱性が生まれることがあります。このような環境を破壊し、重要なデータを盗むことで、犯罪者は身代金を要求したり、自分たちの行為の反響から利益を得ることができる立場にあるのです。いったん成功すれば、交渉は彼らにとって有利になり、企業は彼らのおどしに応じるか、解決のための代償を支払うかのどちらかを迫られることになります。
製造業では、このような攻撃がよく発生する分野がいくつかあります。
機械センサ、ロボット工学、拡張現実(AR)、ウェアラブルなどのコネクテッドテクノロジの進歩は、製造業の運営方法を変えつつあります。リアルタイムのデータに基づいて人と機械がシームレスに相互作用する環境の実現は、生産性に計り知れない利益をもたらすと期待されています。
しかし、そのリスクは、これらの技術をどのように導入するかにひそんでいます。緩いパスワードや弱い認証など、不十分なセキュリティ管理は、外部からのアクセス、機械の制御、機密データの窃取の機会を生み出す可能性があります。このような行為者は、数日から数週間にわたって発見されない可能性があり、損害を最大限に拡大するための十分な時間を与えてしまうことになります。
ソーシャルディスタンスの必要性や出張の制限により、産業環境には予期せぬ負担がかかっています。ITの利用が通常の保護と手順によって厳しく管理されている現場で働いていた社員が、接続のセキュリティとデータの保護に責任を持つ環境で働くようになったのです。
高いセキュリティ標準とベストプラクティスを維持するためのスキルは、個人にとってまだ二の次になっているかもしれません。セキュアでない無線LANに接続したり、機密データを含む機器を公共の場所に放置したりといった小さなミスが、セキュリティイベントの引き金になるのです。
フィッシングは、あらゆる分野のサイバー攻撃者にとって主要な手段であり続けています。攻撃者は、電子メールアドレスのデータベースなど、企業の連絡先情報にアクセスするだけで、悪意のある電子メールやテキストメッセージを送信し、無意識のうちに従業員がそれをクリックすることを期待するという単純な仕組みになっています。
このような攻撃が特に懸念されるのは、その巧妙化です。攻撃者は、CEOや財務担当役員などの重要人物のソーシャルグラフ(人間の相関関係や結びつき)を作成し、スピアフィッシング攻撃を仕掛けてくるケースが増えてきています。攻撃者は、企業のCEOや財務担当役員などの重要人物のソーシャルグラフを作成し、特定すると、信頼できる情報提供の要求やクラウドベースの不正な文書へのリンクを送り、企業の重要データや資金にアクセスすることを目的としています。
製造業は、組織が細分化されているため、特にフィッシングの被害を受けやすいと言われています。当然のことながら、製造業はこの種の手口を使う犯罪者の最も大きな標的となっています。
ソーシャルエンジニアリングは、今日のデジタルツールの多くが登場する以前から、犯罪者にとって効果的な手口でした。ソーシャルエンジニアリングは、相手を操作して、通常行なわないようなことを行なわせる手口です。例えば、無防備な従業員に電話をかけ、「なぜ今すぐあなたの持っている情報を送らなければならないのか」という説得力のある理由を説明することを想像してください。デジタル製造業の場合、このような攻撃は、機械オペレータに基幹システムへのアクセスを促すことや、重要なサプライヤと偽って連絡を取り、サプライチェーンの運営を混乱させることにまで及ぶ可能性があります。
組織が直面する最大の脅威は、しばしば内部からもたらされることはよく知られていることです。このような脅威は、不満を抱いた従業員が手っ取り早く利益を得ようとする悪意のあるものである場合もあれば、単なるヒューマンエラーである場合もあります。その影響は、不正行為による資金の損失から、妨害行為による機械の停止に至るまで、多岐にわたります。このような攻撃を予測することは非常に困難ですが、強調したいのは、100%セキュアなシステムは存在しないということです。したがって、方程式から信頼を取り除くための手段を可能な限り講じる必要があります。
これらの脅威はそれぞれ個別の封じ込め戦略が必要ですが、製造業のリーダが組織のセキュリティレベルを向上させるために利用できる一般的な指針が存在します。
1. 可視性を確保する
ITや生産環境で何が起きているのかが見えなければ、悪意のある行為者は闇に紛れて情報を盗んだり、損害を与えたりすることができます。サイバー犯罪者が関心を持ちそうなさまざまなエンドポイント、インタラクション、データプラットフォームをマッピングし、ネットワークに光を当てましょう。さまざまなプロセス、依存関係、アクセスプロトコルを理解することで、攻撃者にとって危険の少ない緩い要素がどこにあるのかを特定することができます。
2. ITとOTのギャップを埋める
産業機械とITシステムの間に技術的またはプロセス的な断絶がある限り、サイバー犯罪のチャンスは存在することになります。産業用システムを最新化し、孤立した旧式の機器のリスクを回避することが望ましいのですが、機械やシステムのスタック全体を直ちに改造したり交換したりすることは、必ずしも現実的ではありません。段階的な移行を行ない、IT部門と運用部門がより緊密に連携することで、より大規模で長期的な変革プロセスの一環として、ネットワークを可能な限りセキュアに保つことができるのです。
3. スキル不足を欠点としないために
セキュリティ戦略において、従業員は非常に重要な役割を担っています。システムの運用・保守に必要なスキルとシステムの間に乖離がある場合、多くのリスクが顕在化します。従業員に安全なプロセス、習慣、ベストプラクティスを常に伝えることで、サイバーインシデントにつながるヒューマンエラーの最も深刻なケースを完全に回避することはできませんが、軽減することは可能でしょう。
組織のセキュリティシステムやポリシーを見直すには、より高度なソリューションに進む前に、まず最も明白な脆弱性に対処することが最も効果的なアプローチであることがよくあります。不必要に露出されている可能性のある箇所を見つけるには、まずシステムと運用を監査し、組織全体の変更計画を策定することが必要です。詳しくは、こちらをご覧ください。
公開 2022/04/06
