サイバー攻撃に狙われる日本の製造業、これから一段と警戒が必要

記事のポイント

Situation（状況）　日本の製造業に対するサイバー攻撃は国内はもとより、国際比較でみても非常に多い
Complexity（複雑性）「2025年の崖」レガシーシステムの残存に加えて、グローバルに広がるサプライチェーンが持つ性質上の脆弱性が存在し、SaaS等クラウドを悪用した攻撃が存在
Question（問い）対策の基本としてSaaS等クラウドの管理から始める必要があり、ツールが必要である。どのようにツールを選び、管理を運用していけばよいのか
Resolution（解決法）SOC2などセキュリティ認証を獲得しているツールを選び、シャドーITを含めSaaS利用状況を容易に把握できるプロダクトを採用する

このような方におすすめ
CEO等経営陣、CIO/CISO、情報システム部門、DX部門、リスク部門、調達・サプライチェーン管理部門、海外事業管理部門、生産管理部門など

はじめに　〜大きな産業だからこそ狙われる〜

　日本の製造業は総GDP（国内総生産）の約2割に相当する100兆円を超える産業規模であり、グローバル展開も一段と加速しています。日本の製造業の海外生産比率は25.8％を占めています。特に、自動車など輸送機器に至っては47.0％と半分近くが海外生産となっており、世界的に大きな存在感があります（経済産業省「第52回海外事業活動基本調査（2022年7月調査）」）。一方で、そうした地位であり、大きなグローバルサプライチェーンを持つがゆえに、サイバー攻撃の標的にもなりやすいという側面側面も持っています。

　「ジョーシス式ITガバナンス」の第10回は、日本の製造業に対するサイバー攻撃の脅威に関する調査を活用しつつ、狙われる背景、そして対策について考えていきます。

1. APACで最もサイバー被害の多い日本と製造業

　IBM社が発行した「X-Force 脅威インテリジェンス・インデックス2024」によれば、2023年にアジア太平洋地域（APAC）で発生したインシデント被害のうち、日本は80％を占めています。そして、APACにおいて業種ごとにみると、製造業が46％と最も多い割合を占めました。つまり、日本かつ製造業が最も攻撃対象になったことが想定されます。

　グローバルで業種ごとの被害割合をみると、製造業は2020年から最新の2023年まで1位となっています。2023年は過去最大の25.7％と実に全体の4分の1を占めています。これを踏まえて上記のAPACの被害状況をみると、製造業が46％という数字は特徴的と言えます。

　国内でも、製造業はサイバー攻撃被害の多い業種となっています。たとえば、2023年のランサムウエアの被害でみれば、製造業が最も多く34％に上ったと警察庁は報告しています（警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」）

　こうした事実を踏まえると、日本の製造業関係者は、「日本の製造業はサイバー攻撃の最大の対象になっている」という認識を持つ必要があります。

2. なぜ日本の製造業は狙われるのか

　それでは、なぜ、日本の製造業が狙われる存在となっているのでしょうか。代表的な理由を挙げていきます。

　第一に、「2025年の崖」で話題になっているレガシーシステムが多く残存していることも考えられます。レガシーシステムは、セキュリティ上の抜け穴が多くあると指摘されています。さらに、アップデートもされないため、サイバー攻撃に狙われやすいという脆弱性を抱えています。

　第二、APAC地域には日本、中国、韓国、台湾にグローバル規模の製造業が集積しており、世界の製造業の中心となっています。さらに、タイやマレーシアといった東南アジア諸国やインドなど南アジア諸国を含めたサプライチェーン網が張り巡らされています。このように大規模であるがゆえに、攻撃の対象となりやすい側面があります。

　第三に、製造業の重層的なサプライチェーンにおいては、十分なセキュリティ対策が取れていない中小企業が取引先に存在することも影響していると思われます。この点は、事例も含めて下記の2つの記事で詳しく解説しました。

　第四に、第三の要素と関連して、サプライチェーン経由で影響が拡大しやすいと言えます。サプライチェーンのうち脆弱な企業に対する攻撃が成功すれば、全体に影響が及ぶリスクが存在します。サプライチェーン全体へ影響すれば被害額は甚大となり、生産オペレーションの停止といったリスクも存在します。被害が大きければ大きいほど、かつ、取引関係で複数社の脆弱な「継ぎ目」が多ければ多いほど、サイバー犯罪集団の視点からは身代金（ランサム）の支払いに応じやすい攻撃対象と映るでしょう。

3. クラウド化する製造業DXにおけるリスク対策の基本とは

　このように、日本の製造業はサイバー攻撃に狙われやすいことを理解しておく必要があります。どのような対策をとれば良いでしょうか。

3.1 SaaS等クラウドを経由した攻撃ルート

　サイバー被害のルートとしては、冒頭で引用したIBM社のレポートによれば、APAC地域における攻撃の形態はマルウエアが45％で最も多く、次いでランサムウェアが17％、インフォスティーラーが10％と報告されています。その上で同レポートは「クラウド・サービスを悪用」と題して、マルウェアの配布ルートとしてクラウドに注目し、今後も悪用が続くとの見通しを示しています。

(Photo: Unsplash/Growtika)

　とりわけ、近年はSaaS利用が広がっており、同レポートでもいくつかのSaaSについて具体的な名称を挙げてリスクを指摘しています。したがって、SaaS等クラウドサービスを適切に管理することは、サイバー被害のリスクを低減するために重要となります。

　加えて、最近の報道では、ランサムウエアはSaaS企業を標的とすることが報じられています。また、世界経済フォーラムもレポートでも、SaaSのリスクが取りあげられ、SaaS企業のセキュリティ対策の重要性が主張されました。製造業ではDXが加速化し、そのツールとしてSaaSが様々な場面で使われるようになっています。

クラウド経由のSaaSを狙うランサムウェア攻撃、日本に到来か - 日本経済新聞

相次ぐSaaSへの攻撃で浮かぶ「嫌な仮説」、事業者は有事に備え再点検を

How to implement SaaS security as third-party risks surge

3.2 管理ツール選定において重要なこと

　そうしたなか、どのようなSaaSを選び、どのように管理するかは、アジアを中心にグローバル展開をする日本の製造業におけるITガバナンスの重要課題だと考えられます。

　まず、SaaSを選ぶ段階で一定水準のセキュリティ対策がとられているツールを選ぶ必要があるでしょう。その目安としてはSOC2を取得しているといった条件が挙げられます。また、検討するツールのベンダーに対して、どのようなセキュリティ対策をとっているのか、インシデント履歴の有無などを調べるといったことも必要でしょう。

　次に、SaaSの導入後の管理と運用が重要な課題となります。SaaS導入時の審査も重要な手続きですが、導入後にずさんな管理や設定ミスがセキュリティインシデントにつながっている事例が後を絶ちません。また、SaaSはサービスの性質上、アップデートが進んでいくため、導入当初の審査とは条件が変わっている場合もあります。

　したがって、自社の従業員の誰がどのSaaSを利用しているかを明確に把握し、非IT部門が独自に利用するSaaSや非公式に導入されてしまっているSaaS（シャドーIT）を検知することが重要な第一歩となります。その上で、従業員の入退社に伴うアカウントの付与や削除を適切かつタイムリーに行えます。

　仮に退職者が退職後もSaaSにアクセスができてしまえば、重要情報を含んだデータの利用はもとより、SaaSを経由してサイバー攻撃が行われてるリスクも存在します。SaaS等クラウドにマルウエアを仕掛けたファイルを保存したり、クレデンシャル情報を獲得してダークウエブに売却するといったリスクも存在します。何らかの恨みを持つ元従業員がこのような行為に走ることも想定されます。日本でも転職が増えており、退職とともに速やかにアクセスを遮断するといった対策が必要です。

おわりに　〜地政学リスクが製造業への脅威を高める〜

　今回はアジア太平洋地区のマクロ的な製造業の構造を入り口にしつつ、にほんの製造業がサイバー攻撃に狙われやすい理由を明らかにした上で、リスクを低減するためにSaaSの視点から検討しました。

　製造業は地政学リスクの影響も受けやすい環境にあります。米中関係の緊張化やウクライナ情勢を背景に、サイバー空間での非対象戦も激しくなっています。当面、地政学リスクは高まりこそすれ、低減する見通しは立っていません。日本はそうした地政学リスクに大きく影響を受ける地理的環境に位置しています。同時にサイバー攻撃にも晒されやすくなり、今後、日本の製造業はサイバー攻撃のリスクに対して、十分な備えが必要になると考えられます。

　サイバーセキュリティの前段階として、ITガバナンスの領域での基礎固めが、今後のリスク対策において聞いてくると言えるでしょう。

【特別セミナーのご案内】

　ジョーシスでは、来る7月12日、主に製造業セクターの皆さま向けに対面で特別セミナーを実施いたします。製造業DX分野で著名な福本勲様（東芝チーフエバンジェリスト/アルファコンパス代表CEO）を講師にお招きし、交流会も準備しております。詳細を下記からご覧頂き、是非、ご参加ください。

＼オフライン限定セミナー／ なぜ、日本企業のDX活用は進まないのか？〜世界における製造業DXの取り組みの現状と課題〜  | ジョーシス | ITデバイス&SaaS統合管理クラウド

---

　ジョーシスは、SaaS管理プラットフォーム（SMP:Saas Management Platform）であり、SaaS等クラウドサービスの一元管理やシャドーITの検知のほか、ITデバイスの管理やアウトソースといった統合管理プロダクトを提供しています。セキュリティ対策にも力を入れており、SOC2を取得しています。また、SaaS審査やコスト最適化のご相談にも対応しています。少しでも気になることがあれば、気軽にお問い合わせください。

ジョーシス、国際セキュリティ認証のSOC2 Type2報告書を取得

　記事で取り上げて欲しいテーマやご意見・ご感想等も歓迎です。

お問い合わせ　note@josys.com
ジョーシスについて　https://jp.josys.com/

---

執筆者：川端隆史　ジョーシス株式会社シニアエコノミスト