第5回：【サイバー対策編】製造業DXを支えるサイバーセキュリティ対策

2025.11.25

製造業のデジタルトランスフォーメーション（DX）が加速する中、サイバー攻撃は自然災害と並ぶ重大な事業継続リスクとなっています。特に、生産設備を直接制御する産業制御システム（OT）と情報システム（IT）の融合により、オフィスへのランサムウェア攻撃が生産ライン全体の停止に直結する事例が急増しています。本稿では、さいたま市以南、東京都内、神奈川県内の中小製造業を対象に、「止まっても素早く再開する」ためのサイバーレジリエンス構築手法を解説します。予防・検知・対応・復旧の4フェーズによる包括的対策、限られた予算での効果的な投資戦略、そして補助金審査でも高評価を得られる事業継続力強化計画書への具体的記載方法を提供いたします。中小企業でも実践可能な段階的アプローチにより、サイバー攻撃による事業停止リスクを最小化し、顧客・取引先からの信頼維持と競争力強化を実現します。

製造業がサイバー攻撃の主要標的となる理由

「止まってはいけない」製造業の構造的脆弱性

製造業は、生産ライン停止による時間単位での損失拡大、顧客への納期影響、品質管理体制の維持困難など、サイバー攻撃の影響が極めて深刻化しやすい特性を持っています。攻撃者は「早期復旧のために身代金を支払う可能性が高い」と判断し、製造業を優先的に標的とします。

生産停止による甚大な経済損失：
1日の生産停止で数百万円から数千万円の直接損失が発生し、さらに顧客への納期遅延、品質問題、取引停止などの間接損失が長期にわたって継続します。第4回で実施したBIA（業務影響度分析）の結果、多くの製造業で生産停止24時間以内に限界利益の10-30%相当の損失が発生することが判明しています。

技術情報・営業秘密の高い価値：
CAD図面、製造ノウハウ、品質データ、顧客情報、原価情報は、競合他社や産業スパイにとって極めて高い価値を持ちます。特に、自動車部品、精密機械、電子部品などの分野では、技術流出が直接的な競争力喪失につながります。

サプライチェーンの要としての脆弱性：
大手企業のサプライヤーとして、取引先ネットワークへの侵入経路として狙われるケースが急増しています。中小製造業のセキュリティが脆弱な場合、そこを踏み台として大手企業への攻撃が実行される「サプライチェーン攻撃」の起点となります。

IT/OT融合による攻撃面の拡大

従来、製造現場のOT（制御技術）環境は物理的に隔離されていましたが、IoT化、スマートファクトリー化により、以下の接続が急速に拡大しています。

生産管理システムとの統合：
MES（製造実行システム）、ERP（基幹業務システム）との連携により、IT/OT境界が曖昧になり、ITシステムへの攻撃がOT環境に波及するリスクが増大しています。電子メールの添付ファイルから侵入したランサムウェアが、ネットワークを通じて生産設備の制御システムまで到達する事例が実際に発生しています。

リモート監視・保守のインターネット接続：
設備メーカーによる遠隔保守、本社からの生産状況モニタリングのため、OT機器がインターネットに直接接続されるケースが増加しています。適切なセキュリティ対策なしに接続すると、世界中からの攻撃対象となります。

無線通信の増加：
作業指示用タブレット、ウェアラブルデバイス、無線センサーの導入により、無線経由での侵入リスクが増加しています。

4フェーズによる包括的サイバーセキュリティ対策

フェーズ1：予防対策（攻撃を未然に防ぐ基盤づくり）

多要素認証（MFA）の全面展開

最優先実施項目：
全クラウドサービス、VPN、リモートアクセス、基幹システムへのMFA適用率100%を目標とします。これは最もコスト対効果の高い対策です。

必須適用システム：

メールシステム（Microsoft 365、Google Workspace等）
ファイル共有サービス（Box、Dropbox、OneDrive等）
会計・販売管理システム
生産管理・MESシステム
VPN接続
管理者アカウント（特に厳格に管理）

段階的導入スケジュール：

第1週： 管理者アカウント、経営層アカウント
第2-3週： 全従業員のメール・主要クラウドサービス
第4-6週： VPN、重要業務システム
第7-8週： 全システムの適用完了と運用定着

アクセス権限管理の厳格化

最小権限の原則の徹底：
各従業員が業務遂行に必要最小限のシステム・データにのみアクセスできるよう権限を設定します。

実践的な権限設計例：

ファイルサーバー： 部門別・プロジェクト別のフォルダアクセス制御
CAD/CAMデータ： 設計部門のみアクセス可能、外部持ち出し時は暗号化必須
生産管理システム： 参照のみ・入力可能・承認権限の階層化
財務データ： 経理部門と経営層のみアクセス可能

管理者権限の完全分離：
日常業務用IDと管理者IDを完全に分離し、管理作業時のみ管理者IDを使用するルールを確立します。共有IDの使用は全面的に廃止します。

ネットワークセグメンテーション

IT/OT環境の論理的分離：
オフィス系ITネットワークと工場系OTネットワークの間にファイアウォール（UTM）を設置し、通信を必要最小限に制限します。これにより、オフィス側が感染しても工場側への被害拡大を防ぐことができます。

ゾーン設計の実装例：

ゾーン1： 事務系ネットワーク（PC、プリンター、サーバー）
ゾーン2： 生産管理システム（MES、生産計画システム）
ゾーン3： 監視制御システム（SCADA、HMI）
ゾーン4： 基本制御システム（PLC、DCS、産業用ロボット）
ゾーン5： 安全制御システム（緊急停止装置、安全監視）

各ゾーン間の通信は、業務上必要最小限のポート・プロトコルのみを許可し、定期的に通信ログを確認します。

脆弱性管理とパッチ適用の体系化

製造業向けパッチ適用ルール：

重大セキュリティパッチ（CVSS 9.0以上）： 検証後48時間以内に適用
重要パッチ（CVSS 7.0-8.9）： 検証後7日以内に適用
その他パッチ： 検証後14日以内に適用
生産システム： 設備メーカーの動作保証確認後、計画停止時に適用

サポート終了製品への対応：
Windows 7、Windows Server 2008など、サポート終了OSの使用状況を調査し、可能な限り最新OSへの移行計画を策定します。移行困難な場合は、ネットワーク完全分離、仮想パッチ適用などの代替策を実施します。

フェーズ2：検知対策（早期発見による被害拡大防止）

EDR（Endpoint Detection and Response）の導入

対象端末と検知項目：

全業務用PC： ランサムウェア暗号化動作、不審なプロセス実行、外部への大量データ送信
サーバー： 管理者権限の不正使用、異常なファイルアクセス、システム設定変更
可能であれば制御用PC： 未許可ソフトウェア実行、外部通信の発生

運用体制の構築：

アラート発生時の一次対応担当者を明確に指名
夜間・休日の緊急連絡体制を整備
必要に応じてベンダーSOC（Security Operation Center）サービスを活用

ログ管理と異常検知

重要ログの継続的収集：

認証ログ： 成功・失敗・時間外アクセス・異常な接続元
管理操作ログ： アカウント作成・削除・権限変更・システム設定変更
ファイルアクセスログ： 重要データへのアクセス・大量ダウンロード・外部送信
ネットワーク通信ログ： 外部との通信・内部間異常通信・未許可ポート使用

ログ保管期間と時刻同期：
セキュリティログは最低6ヶ月、監査ログは最低1年保存し、全システムをNTPサーバーと同期させ、インシデント発生時の正確な時系列把握を可能にします。

フェーズ3：対応対策（インシデント発生時の迅速な初動）

インシデント対応体制（CSIRT）の明確化

役割と責任の明文化：

総括責任者（経営者・CIO）： 最終意思決定、対外発表、経営資源配分
現場対応（情報システム部門）： 技術的対応、証拠保全、システム復旧
業務継続（各部門責任者）： 業務影響評価、代替手段実行、顧客対応
広報・法務（総務部門）： 報道対応、法的対応、関係機関連絡

初動対応の標準化

ランサムウェア感染疑い発見時の5段階対応：

STEP1：即時隔離（発見後5分以内）
感染疑い端末のネットワークケーブルを物理的に抜く、Wi-Fiを無効化する。電源は証拠保全のため切らない。現場判断での実施を許可し、上長承認を待たない。

STEP2：緊急連絡（発見後10分以内）
事前に定めた連絡網により、情報システム責任者→経営層→外部専門家の順序で連絡。連絡は電話を基本とし、メールシステム障害を考慮。

STEP3：影響範囲評価（発見後30分以内）
同一ネットワーク内の他端末感染確認、ファイルサーバー・バックアップシステムの暗号化状況確認、生産システムへの影響確認。

STEP4：封じ込め措置（発見後1時間以内）
影響範囲のネットワークセグメント遮断、管理者パスワードの緊急変更、バックアップシステムの完全隔離。

STEP5：証拠保全と詳細調査（発見後2時間以内）
感染端末のメモリダンプ取得、ログファイルの保全、専門家による詳細調査の開始。

外部連絡先の事前整備

公的機関：

JPCERT/CC（JPCERTコーディネーションセンター）
IPA 情報セキュリティ安心相談窓口
警察庁サイバー犯罪相談窓口（#9110）
各都県警サイバー犯罪対策課

専門ベンダー・法的支援：

契約中のセキュリティベンダー緊急連絡先
サーバー・ネットワーク機器ベンダーサポート
サイバーセキュリティ専門弁護士
サイバー保険会社連絡先

身代金要求への対応方針

基本方針の事前決定：
ランサムウェア攻撃で身代金を要求された場合、「原則として身代金は支払わない」方針を平時に経営層で決定しておきます。身代金支払いでは復号の保証がなく、再攻撃のリスクもあるため、バックアップからの復旧を最優先とします。

フェーズ4：復旧対策（事業の早期正常化）

3-2-1バックアップルールの徹底実装

3つのコピー：
本番データ、オンサイトバックアップ、オフサイトバックアップの3つを保持します。

2つの異なる媒体：
ディスク、テープ、クラウドなど、異なる媒体・技術に保存します。

1つはオフライン/不可変：
ランサムウェアから確実に保護するため、1つは物理的に切り離すか、不可変（改ざん不可）形式で保管します。

製造業向け実装例：

コピー1： 本番ファイルサーバー（常時稼働）
コピー2： 社内NASへの日次増分バックアップ（ネットワーク接続、世代管理）
コピー3： クラウドストレージへの週次バックアップ（不可変設定、90日間変更不可）

復旧優先順位と段階的復旧戦略

第4回BIA結果に基づく復旧順序：

ID基盤（Active Directory）復旧： 12時間目標
ネットワークセグメント再構築： 18時間目標
受発注システム復旧： 24時間目標
生産管理システム復旧： 48時間目標
ファイルサーバー復旧： 72時間目標

段階的復旧の実装：

緊急復旧（0-24時間）： 最重要システムの最低限機能復旧
暫定復旧（24-72時間）： 主要業務の50%水準での再開
完全復旧（72時間以降）： 全機能の正常稼働復帰

復旧手順書（Runbook）の整備

システム別詳細手順書：
各重要システムについて、前提条件、復旧手順、所要時間、確認項目、トラブルシューティングを記載した手順書を作成し、定期的な実地演習により実効性を確認します。

定期的なリストア演習：

月次： ファイルサーバーの部分リストア演習
四半期： 基幹システムの全体リストア演習
年次： 全システムの災害復旧演習

製造業特有のサイバーセキュリティ課題と対策

OT環境のレガシーシステム保護

古いOS・制御システムへの対応：
Windows XP、Windows 7で稼働する制御用PCは、以下の対策により保護します。

完全ネットワーク分離： 物理的な切り離しまたは専用ファイアウォールによる隔離
仮想パッチ適用： IPS/IDSによる脆弱性保護
ホワイトリスト型セキュリティ： 許可されたプログラムのみ実行可能
計画的更新： 代替製品への段階的移行計画策定

USBメモリ等の持ち込み制御：
製造現場へのUSBメモリ、外付けHDD、個人PCの持ち込みを原則禁止とし、業務上必要な場合は事前承認とウイルススキャンを義務化します。

技術情報・営業秘密の保護強化

CAD/CAM・設計データの厳格管理：

アクセス権限の厳格化（設計部門のみ、プロジェクト別制限）
外部持ち出し時の暗号化義務化
印刷・コピー・スクリーンショットのログ記録
退職者の即日アクセス削除体制

重要情報の分類と保護レベル設定：

機密レベル1： 設計図面、製造レシピ、品質基準（最高レベル保護）
機密レベル2： 顧客情報、契約条件、価格情報（高レベル保護）
機密レベル3： 社内資料、会議議事録（標準レベル保護）

事業継続力強化計画書への具体的記載方法

想定シナリオの記載例

「ランサムウェア攻撃により、社内ファイルサーバー、Active Directory、生産管理システムが暗号化され、全社的にシステム利用不能となった場合を想定する。同時に、ネットワークを通じて生産ラインの制御PCにも感染が拡大し、工場の操業が全面的に停止する事態を想定する。身代金は支払わない方針とし、バックアップからの段階的復旧により、72時間以内に主要業務を再開する。」

事前対策の記載例

「全従業員の業務用アカウントに対し多要素認証（MFA）を導入し、不正アクセスを防止する。オフィス系ネットワークと工場系ネットワークの間にUTM（統合脅威管理機器）を設置し、セグメントを分離することで感染拡大を防ぐ。全端末にEDRを導入し、不審な挙動を常時監視する体制を構築する。重要データ（図面、会計、顧客情報）は、3-2-1ルールに基づき、社内バックアップ、クラウドストレージ、オフライン媒体の三重で保管する。」

初動対応の記載例

「感染の疑いがある端末を発見した従業員は、直ちに当該端末をネットワークから遮断（LANケーブル抜線）し、情報システム責任者へ報告する。情報システム責任者は、全社ネットワークの遮断要否を判断し、被害拡大防止措置を講じるとともに、あらかじめ定めた連絡網に従い経営層、保守ベンダー、JPCERT/CC、警察へ通報する。」

代替手段・復旧計画の記載例

「システム復旧までの間、受発注業務はあらかじめ印刷しておいた顧客名簿と価格表に基づき、電話・FAXおよび紙伝票による手作業で継続する。生産現場においては、直近の紙図面および各設備に保存された加工データを活用し、スタンドアロン（ネットワーク未接続）状態での部分稼働を実施する。復旧優先順位は、ID基盤→受発注システム→生産管理システム→ファイルサーバーの順序とし、各段階の復旧目標時間を設定して段階的に業務を再開する。」

投資対効果を考慮した段階的実装計画

第1段階：即座に実施（投資額：50-100万円、期間：2週間）

最優先対策：

全社員のMFA有効化（クラウドサービス標準機能活用）
バックアップのオフライン/不可変化（クラウドストレージ設定変更）
管理者権限の見直しと最小権限化
インシデント対応連絡網の整備

期待効果： ランサムウェア攻撃の80%を防御可能、復旧可能性の大幅向上

第2段階：3ヶ月以内に実施（投資額：200-400万円）

重要対策：

EDRの全端末導入
UTM（統合脅威管理）によるネットワークセグメンテーション
インシデント対応手順書整備と訓練実施
従業員向けセキュリティ教育プログラム開始

期待効果： 高度な攻撃の検知・対応能力向上、被害拡大防止

第3段階：1年以内に実施（投資額：500-1,000万円）

高度対策：

OT環境専用セキュリティシステム導入
SIEM導入による統合ログ監視
サポート終了システムの更新・代替
外部専門家による定期セキュリティ診断

期待効果： 包括的なサイバーレジリエンス確立、顧客・取引先からの信頼向上

よくある落とし穴と対策

「うちは狙われない」という根拠なき安心感：
サイバー攻撃の多くは無差別型であり、セキュリティの甘い中小企業を踏み台として大企業を狙う手口が主流です。企業規模に関わらず標的となります。

バックアップの実効性未確認：
NAS（ネットワークHDD）にバックアップを取っていても、PCからアクセス可能な状態であれば、ランサムウェアに一緒に暗号化されてしまいます。「オフライン（物理的切り離し）」または「不可変（変更不可）」設定が絶対条件です。

工場の制御システムの無防備な接続：
工場の専用機（制御PC）のWindows XPや7を、セキュリティ対策なしに社内ネットワークに接続することは極めて危険です。どうしても接続が必要な場合は、専用ファイアウォールで厳重に隔離する必要があります。

サイバー攻撃を「IT部門の問題」に矮小化：
実際には、受注・生産・出荷・請求まで、全社の事業継続に関わる問題です。BIAの結果と連動させ、「事業への影響」を明確にしておくことが重要です。

5分でできるチェックリスト

全クラウドサービス（メール、ファイル共有等）でMFA設定を有効化済み
バックアップのオフラインコピーまたは不可変コピーが存在し、月次でリストアテスト実施済み
リモートデスクトップの直接インターネット公開を廃止し、VPN+MFA経由に変更済み
工場内の制御用PCが、無防備にインターネットや事務用ネットワークに接続されていない
インシデント発生時の連絡先リスト（社内・社外）を整備し、全員が携帯済み

今週のアクション

MFA設定状況の全社緊急調査：
Microsoft 365、Google Workspace、会計ソフト、ファイル共有サービスなど、業務で使用している全クラウドサービスについて、全従業員のMFA設定状況を今週中に調査してください。未設定者には2週間以内の設定完了を指示し、設定手順書を配布してください。目標：MFA適用率100%達成。

バックアップの「オフライン化」緊急確認：
現在のバックアップ運用を詳細に確認し、ランサムウェア感染時にも影響を受けない「オフライン」または「クラウド上の不変ストレージ」にデータが確実に保存されているか検証してください。常時接続のNASのみの場合は、今すぐ外付けHDDを購入し、週次での手動バックアップ運用を追加してください。

製造系システムのセキュリティ緊急点検：
工場内で使用されているPC、PLC、制御システムについて、OS種類、インターネット接続状況、セキュリティ対策状況を一覧表で整理してください。インターネットに直接接続されているシステムや、Windows XP/7で稼働するシステムがある場合は、即座にネットワーク分離を検討してください。

インシデント対応連絡網の即時整備：
サイバーインシデント発生時の社内連絡網（責任者・担当者・連絡順序・代替連絡手段）と外部連絡先（JPCERT/CC、警察、ITベンダー、保険会社）をA4用紙1枚にまとめ、全従業員に配布してください。経営層・IT担当者は常時携帯できるようカードサイズ版も作成し、緊急時の迅速な対応を可能にしてください。

次回第6回では「【人的資源編】製造技能の継承と災害時要員確保戦略」と題し、製造業の競争力の源泉である熟練技能の可視化と継承、災害時の安否確認から生産復旧要員の段階的確保、多能工化による代替要員戦略、労働法規を遵守した災害時労務管理まで、人的リソースに関する包括的な事業継続対策について詳しく解説いたします。技能マトリックスの作成方法、協力会社との災害時応援協定締結のポイント、実践的な安否確認システムの構築など、即座に実行可能な手法を提供いたします。

TAG

#事業継続力強化計画