ランサムウェアによる攻撃からサプライチェーンセキュリティを守り、情報漏えいや業務停止を防ぐために、製造業が注目すべきはデータセントリック・セキュリティへの移行です。本記事では、サプライチェーンに潜む脆弱性とセキュリティ基盤強化につながるソリューションについてご紹介します。
最新のサイバー攻撃によるインシデント事例も踏まえながら、本社の IT のみならず工場の OT セキュリティが必要とされる背景についても解説しますので、製造業の設計・開発部門の責任者や DX 担当者の方はぜひ参考にしてください。
製造業サプライチェーンを狙うサイバー攻撃の脅威
サイバー攻撃の1つであるランサムウェア攻撃では、「二重恐喝」が標準的な手口です。データの暗号化はもとより、「対価を支払わなければデータを公開する」として企業の機密情報等を窃取した上で身代金を要求してきます。中でも製造業は、生産活動の停止が財務的損失や機会の逸失に直結することから、脅しやすい標的として狙われがちです。
セキュリティの脆弱性を突くサイバー攻撃者の手口
サプライチェーン上の関係組織や利用中のソフトウェア等に脆弱性があれば、標的組織である製造メーカーは攻撃者の侵入を許し、間接的および段階的に情報漏えいに至るおそれがある点に留意が必要です。
サイバー攻撃者は、強固なセキュリティ対策を実行する標的組織を直接的に狙うのではなく、サプライチェーン上のセキュリティが脆弱な部分を見定めて攻撃を開始します。たとえば取引先や委託先、国内外の子会社等を足がかりに侵入し、それらが保有する標的組織の機密情報等を窃取するのです。
とくに製造業のIT環境は、構造的かつ運用面で脆弱性を抱えており、セキュリティに隙が生じているケースが多く見られます。工場内ネットワークというクローズドな環境を前提に設計された古い世代のシステムが混在していたり、生産設備の安定稼働を優先し OT(制御・運用技術)領域へのパッチ適用を後回しにしたりするケースなどです。
情報漏えいの原因に!サイバー攻撃者の侵入経路とは?
サイバー攻撃者の侵入経路は、主に3つ挙げられます。
- つ目は VPN 機器です。ネットワーク境界に位置する VPN 機器には、深刻な脆弱性が報告されており、その悪用があとをたちません。
- つ目は巧妙に正当なブランドを模倣したフィッシングメールです。悪意のある添付ファイルによってマルウェアに感染させられたり、埋め込まれた偽のリンクから従業員のログイン資格情報の窃取等が行われたりします。侵入後、攻撃者は権限を昇格し、内部ネットワークで広範なラテラルムーブメント(水平展開)した上で機密情報へのアクセス・抽出を実行する流れです。
- つ目はソフトウェアサプライチェーンを悪用した不正アクセスであり、「サプライチェーンや委託先を狙った攻撃」の手口として IPA「情報セキュリティ 10 大脅威 2025」で紹介されています。
サプライチェーン インシデント事例:アサヒ GHD
アサヒ GHD は2025年9月29日、サイバー攻撃によるシステム障害の発生を公表し、受注・出荷業とコールセンター業務を停止しました。基幹システム「SPIRIT(スピリット)」などの物流システム全般が停止したために、システムによる受注・出荷業務も停止することになりました。
この事例は、「機能的操業停止」の典型例です。OT システムは被害に遭わなかったものの、サプライチェーンを支える基幹システムの停止によって生産指示や物流データが途絶したために、一時的な製造停止に陥りました。各ビールメーカーもギフトセット等の休売を発表するなど、時間の経過とともにその影響が拡大しています。
サーバーがランサムウェアに攻撃されたことや情報漏えいの可能性が10月3日に発表されており、サイバー攻撃の詳細は非開示ですが、IPA が紹介する手口で侵入された可能性が高いでしょう。情報漏えいを防ぐために障害が発生したシステムの遮断措置を講じた影響で、アサヒ GHD は社外からのメールを受信できず、電話やファクスを使った対応を営業担当者は余儀なくされています。
従来のデータセキュリティ対策では不十分とされる理由
境界防御型セキュリティは、アクセス主体(データが経由・存在する箇所)による管理方法です。この従来のデータセキュリティでは、サイバー攻撃への対策はなぜ不十分とされているのでしょうか。
境界防衛型セキュリティの課題
データの保護は、もともとデータ処理の主体者に対する要件であり、システム構築時に実装されてきました。つまり境界防御型セキュリティでは、データの生成・取得プロセスの真正性は考慮されないことが多く、下記のような課題が発生しがちです。
- 各データの所在の把握や不正なクエリの判断が難しい
- オンプレミスとクラウド併用時に管理が複雑化する
- ログの常時監視が困難で、インシデントの予兆を掴めない
しかしデータの利用主体は、単一ではありません。データのライフサイクルごとに、保護技術も異なる点を押さえる必要があります。そこで注目されているのが、「データ中心のセキュリティ対策」への発想の転換です。
データのライフサイクルを通じて、データの状態を可視化してリスクを洗い出した上で、そのセキュリティを確保する必要があります。
工場でも OT セキュリティが必須とされる背景
設計では 3D CAD で生成したモデルを活用したり、生産では IoT 化や⾃動化に伴い⼯場をインターネット等のネットワークに接続したり、サプライチェーンをデジタルでつなぐケースが増えています。
つまり工場の OT システムであっても、サイバーセキュリティ上のリスクが増⼤しているのです。たとえインターネット接続の機会が少なくても、不正侵⼊者や内部の正規ユーザー等がセキュリティ脅威となる可能性もあります。
製造業向けセキュリティ・ガイドラインで「セキュリティの推進は経営層等の意思決定を⾏う者による体制の構築や適切な指⽰が重要」と述べられている通り、工場セキュリティも再検討する時期がきているといえるでしょう。ここでは、製造業向けセキュリティ・ガイドラインより、脅威により生じる工場 OT システムへの影響例について紹介します。
脅威により生じる工場 OT システムへの影響例
脅威により生じる工場 OT システムへの影響例
経済産業省のガイドラインでは、製品事業の伸張や事業・生産の継続 (BC) への影響をはじめ、工場の安全 (S)、品質 (Q)、納期 (D)、コスト (C) の確保といった生産活動の根幹への影響が挙げられています。また、工場システムや機器の正常な動作が妨げられることや、生産ノウハウ等のデータ漏えいも懸念点です。 さらに、自社工場が踏み台となりサプライチェーン等の連携先へ被害が拡大するリスクや、製品へのマルウェア混入による利用者情報の漏えい、設備の誤作動が引き起こす従業員や近隣住民への安全・健康被害など、多岐にわたる影響が指摘されています。
これからの製造業に必須の「データセントリック・セキュリティ」とは
データセントリック・セキュリティとは、データがどこに保存、アクセス、または使用されるかに関わらず、データ自体の保護を最優先する考え方のことです。データやシステム、ネットワーク通信などを信頼せず、常にゼロの状態から検証を行う「ゼロトラスト(信頼をゼロにする)」と呼ばれるセキュリティモデルとともに語られることが多いでしょう。
データセントリック・セキュリティはこれからの製造業に必須の対策ですので、詳しく紹介します。
リスクを軽減するデータセントリック・セキュリティ
データセントリック・セキュリティにおいては、個々のデータに関して、下記のような情報取得を行います。
- データはどこに存在するのか
- データのアクセス権はどのように設定されているのか
- 誰が、いつ、どのデータを使用しているのか
ネットワークやデバイスの境界を保護するだけでなく、データ中心のセキュリティアーキテクチャを採用し、データ生成から消去までのライフサイクル全体にわたってデータを管理するのです。その結果、組織はデータ侵害やサイバー攻撃のリスクを軽減できるようになります。
データセントリック・セキュリティを構成する要素
そこで、まずはデータの機密性・完全性・可用性を評価した上で、種類に基づき分類しなくてはなりません。これにより、データ保護に必要とされる適切なセキュリティ管理とポリシーを実装できるようになります。データセントリック・セキュリティを構成する要素をまとめると、下記のとおりです。
- データ重要度基準の分類
- すべての経路において暗号化
- データレベルでの詳細なアクセス制御
- ライフサイクル全体での管理
- 情報漏えい防止策の実装
上記を実現するためにも、データを統合基盤上で一元管理するのがおすすめです。データの識別、理解、制御、保護、監査などを統合基盤上で行えば、重要なデータの保護はもちろんのこと、データ損失を防ぎ、セキュリティ脅威による悪意を示す変更を特定しやすくなります。
PLM がセキュリティ基盤強化に役立つ理由
データセントリック・セキュリティへ移行する際には、PLM「Windchill」が基盤としておすすめです。とくに規制が厳しく複雑な業界(航空宇宙、防衛、運輸、エネルギー、ヘルスケアなど)においては、信頼性、トレーサビリティ、継続性を確保できる PLM「Windchill」は必須といえます。
PLM は、CAD セキュリティの観点からも重要であり、CAD をはじめとする様々なデータのライフサイクル全体をどのように管理、共有、保存するかを考慮し、下記を実現するためのソフトウェアです。
- ライフサイクル全体にわたるトレーサビリティ
- 認証とコンプライアンス
- 長期アーカイブ
- パートナー間の管理されたコラボレーション
これらを組み合わせることで、セキュリティ基盤の強化はもとより、真のデジタルスレッドと持続可能なデジタルツインのビジョンも実現できます。
セキュリティ強化と同時に、PLM は全社的な DX を加速させる「デジタルスレッド」の中核も担います。PLM がどのように 3D モデルを活用し、部門間の連携を強化するのか、具体的な成功事例については以下の記事もあわせてご覧ください。
製造業 DX の成功事例に学ぶ:3D モデルと PLM でつながるデジタルスレッド
従来の PLM に潜む脆弱性を補完した SaaS PLM の強み
オンプレミスや DIY クラウド PLM を利用しているケースでは、自社の IT 部門がパッチ適用とアップデートを行う必要があります。対応が完了するまで、脆弱性が放置されることもあるでしょう。パッチのインストールにかかる時間や、パッチが手動で適用されるまでの間に経験するリスクの増大は言うまでもありません。こうしたオンプレミス特有の「運用の空白期間」こそが、攻撃者に狙われる最大の隙となります。
そこで PTC はセキュリティを強化し、脆弱性を低減しながら、エンタープライズ製品開発を加速する 「Windchill+ (SaaS PLM)」を開発しました。この次世代 SaaS PLM ソリューション Windchill+ は、PTC のリスク許容度を最小限に抑え、数ある PLM の中でも最高レベルのセキュリティでお客様のシステムと知的財産 (IP: Intellectual Property) を確実に保護します。
#「Windchill+」の詳細については、下記ページよりご覧いただけます。
Windchill+:SaaS PLM ソフトウェア
Windchill の豊富な機能を、SaaS (Software as a Service) でそのまま活用できます。
詳細はこちらWindchill+ (SaaS PLM) の機能
ここでは、Windchill+ (SaaS PLM) のセキュリティ機能について見ていきましょう。
フルスタックの知的財産保護機能
Windchill+ にはフルスタックの知的財産保護機能が統合されており、製造業サプライチェーン内で、情報を安全に管理、調整、共有できます。信頼できる唯一の情報源に基づいた IP 保護の自動化や、特定の目的に合わせて読み取り、書き込み、削除、メタデータなどのセキュリティレベルとアクセス制御を行うことが可能です。これにより、データ損失やコンプライアンス違反のリスクを軽減しながら、ビジネスの成長と革新を促進できます。
IP セキュリティ保護のための PLM 機能詳細については、下記ページよりご覧いただけます。
製品および製造設計データ(デジタル資産)の IP セキュリティ
高度に調整された脆弱性検出機能
PTC は単一の責任窓口として、Windchill+ をご利用中のお客様の PLM セキュリティに責任を負うことでスケールメリットを生み出し、他社よりも多くのセキュリティ技術、プロセス、そして熟練した専門家への投資を可能にしています。安全なプラットフォームを利用すれば、自社でバグの追跡やリスクと予算のバランス調整に時間を浪費する必要はありません。高度に調整された脆弱性検出機能も提供しており、脆弱性を積極的に特定し、サードパーティによる侵入テストも実施可能です。
常に最新のセキュリティアップデートを利用可能
Windchill+ は、常に最新のセキュリティアップデートが実施された安全なプラットフォームです。お客様の PLM システム全体に、セキュリティ強化につながるパッチが自動的に適用されるほか、セキュリティプロトコルや認定データセンター、定期的なシステム監査、サードパーティリソースなど、PTC は多層的なセキュリティ対策も提供します。
実際に、サウジアラビアの大手建設・HVACメーカーである Zamil Industrial 社は、データ漏洩やサイバーセキュリティへの懸念から Windchill+ への移行を決断しました。その結果、オンプレミス運用時のリスクを解消しただけでなく、顧客対応の40%迅速化や、グローバル拠点間での安全かつシームレスなデータアクセスを実現しています。
情報漏えいを防ぐためにも、安全な SaaS PLM への移行がおすすめ
サプライチェーンのデータ漏えいを回避し、サイバーセキュリティを向上させたい製造業の皆さまには、より安全な SaaS PLM への移行がおすすめです。データセントリック・セキュリティや設計データ管理におけるゼロトラスト思考の導入についてご興味をお持ちのご担当者さまは、ぜひ PTC までお問い合わせくださいませ。
【無料 eBook】失敗しない「クラウド型 SaaS PLM」の選び方
セキュリティリスクを低減し、DX を加速させるためには、自社に最適なソリューション選びが重要です。検討時に押さえておくべき必須項目や比較ポイントをまとめた「導入ガイド」を無料でご覧いただけます。
PLM 導入について専門スタッフに直接相談する
「自社のセキュリティ要件を満たせるか確認したい」「具体的な導入費用を知りたい」といったご質問に、PLM の専門スタッフが個別にお答えします。現状の課題整理からでも、お気軽にご相談ください。
お問い合わせ