top of page
Blog article

Blog article

サイレント・スレット:日本の製造業におけるサイバーリスクの戦略的分析

エグゼクティブサマリー


本レポートは、日本の製造業が直面するサイバーセキュリティの脅威について、その全体像と本質を深く掘り下げ、経営層が取るべき戦略的対応を提示するものである。近年の脅威動向を分析した結果、製造業はもはや数ある標的の一つではなく、サイバー犯罪者にとって最も収益性の高い「第一の標的」となっていることが明らかになった。この変化の根底には、物理的な生産ラインを停止させることで、被害企業に対して極めて強力な金銭的要求のテコを得られるという攻撃者の戦略的計算がある。

この脅威を深刻化させているのが、情報技術(IT)と、工場で長年稼働してきた旧来の制御技術(OT)との融合である。生産性向上を目的としたこの技術的進化は、皮肉にも、かつて「エアギャップ」によって守られていた生産設備をサイバー空間の脅威に直接晒すことになった。特に、ランサムウェア攻撃と、セキュリティ対策が手薄な中小企業を踏み台にするサプライチェーン攻撃が、生産停止という最悪の事態を引き起こす主要な手口として定着している。

本レポートでは、統計データに基づき脅威の深刻さを定量的に示すとともに、国内大手メーカーが実際に経験した3つの重大インシデントを詳細に分析し、攻撃がもたらす事業への壊滅的な影響を明らかにする。さらに、製造業特有の脆弱性の根源であるITとOTの根本的な違いを解説し、従来のITセキュリティの考え方だけでは工場を守れない理由を論証する。

結論として、この静かなる脅威から事業を守るためには、技術的な対策の導入に留まらない、経営レベルでの戦略的転換が不可欠である。具体的には、OTセキュリティを事業継続における最重要課題と位置づけ、経済産業省のガイドラインや国際標準規格「IEC 62443」といったフレームワークに基づいた網羅的なガバナンス体制を構築すること、そして、サプライチェーン全体のリスクを低減するために、東京都や独立行政法人情報処理推進機構(IPA)が提供する公的支援エコシステムを積極的に活用することが、今後の持続的な成長と競争力維持のための鍵となる。



第1章 新たな最前線:サイバー攻撃の主戦場と化した日本の製造業


サイバー攻撃の脅威は、もはや特定の業界に限定されるものではない。しかし、近年の攻撃動向は、日本の基幹産業である製造業が、他のどのセクターよりも深刻かつ集中的な脅威に晒されているという厳しい現実を浮き彫りにしている。統計データは、製造業が単なる標的の一つではなく、攻撃者にとって最も魅力的な「主戦場」へと変貌を遂げたことを明確に示している。本章では、その定量的証拠を提示し、攻撃者の戦略的動機を分析するとともに、最も被害をもたらしている攻撃手法を詳述する。


1.1. 不均衡なリスク:データが示す製造業の突出した被弾率


各種公的機関の統計は、製造業がサイバー攻撃、特にランサムウェアの被害において突出して高い割合を占めていることを一貫して示している。警察庁の報告によれば、令和4年(2022年)に確認されたランサムウェア被害230件のうち、製造業は75件に上り、全業種の中で最多となった 1。この傾向は一過性のものではなく、JPCERTコーディネーションセンター(JPCERT/CC)の分析でも、令和4年上半期および令和5年上半期のいずれにおいても、ランサムウェア被害組織に占める製造業の割合はトップであり、被害の減少は見られないと指摘されている 2

さらに、独立行政法人情報処理推進機構(IPA)が発行した「情報セキュリティ白書2024」は、2023年の被害状況について、製造業が全体の34.0%(67件)を占め、2位の卸売・小売業(16.8%)を大きく引き離していることを報告している 3。日本ネットワークセキュリティ協会(JNSA)の調査でも、ランサムウェア被害組織の実に43%が製造業であったという結果が出ており、その突出度は明らかである 4

この現象は日本国内に留まらない。グローバルな視点で見ても、セキュリティ企業KasperskyのICS CERT(産業用制御システム緊急対応チーム)の報告によれば、攻撃を受けた産業組織の約3分の2が製造業であり、日本の製造業が世界的な脅威トレンドの渦中にあることがわかる 5。これらのデータは、製造業が直面するリスクが他の産業とは質・量ともに異なり、極めて深刻な状況にあることを客観的に証明している。


1.2. 攻撃者の論理:なぜ製造業は儲かる標的なのか


攻撃者が製造業を執拗に狙う背景には、明確な経済的合理性が存在する。その最大の理由は、事業への影響が甚大であるため、高額な身代金支払いを期待できる点にある 6

  • 生産停止という強力な交渉材料:製造業の核心は、物理的な生産ラインの連続稼働にある。IoT機器や制御システム(OT)がサイバー攻撃を受けると、工場の稼働は即座に停止し、事業活動そのものが麻痺する 6。これは単なる機会損失に留まらず、サプライチェーン全体を巻き込む納期遅延、顧客からの信用失墜、契約違約金の発生など、連鎖的な損害を引き起こす。攻撃者はこの「止まることの重大さ」を熟知しており、企業が事業継続を最優先する心理に付け込み、高額な身代金を要求する。セキュリティ企業Fortinetの2023年のレポートは、製造業が他の業種に比べて身代金を支払う傾向が強いことを指摘しており、その背景にはダウンタイムがもたらす莫大なコストがあると分析している 7

  • 知的財産の宝庫:製造業は、製品の設計図、独自の製造プロセス、技術ノウハウといった、企業の競争力の源泉となる知的財産を大量に保有している。これらは攻撃者にとって「最高の獲物」であり、身代金目的だけでなく、産業スパイや国家間の競争力獲得を目的とした攻撃の標的ともなり得る 6

  • 手薄な防御体制:高いリスク認識とは裏腹に、工場のセキュリティ投資は依然として低水準に留まっている。経済産業省の調査では、工場のセキュリティ予算額が「100万円未満」である企業が23.7%と最も多く、さらにその予算規模の企業の約半数が「予算の少なさ」を課題として認識している 8。このリスク認識と実投資の乖離は、攻撃者にとって格好の侵入口となり、製造業が狙われやすい一因となっている。


1.3. 二大脅威:ランサムウェアとサプライチェーン攻撃


製造業を襲う攻撃手法は多岐にわたるが、特に深刻な被害をもたらしているのがランサムウェアとサプライチェーン攻撃である。IPAが毎年発表する「情報セキュリティ10大脅威」においても、これらは常に上位を占めている。

  • ランサムウェアという究極の脅威:「情報セキュリティ10大脅威 2024」で第1位にランク付けされたランサムウェアは、製造業にとって最大の脅威である 9。近年の攻撃は、データを暗号化して身代金を要求するだけでなく、事前に窃取したデータを公開すると脅迫する「二重恐喝(ダブルエクストーション)」型が主流となっている 9。これにより、企業は事業停止と情報漏洩という二重の圧力に晒される。その経済的損失は甚大で、トレンドマイクロ社の調査によれば、ランサムウェア被害を経験した法人組織の累計被害額は平均で2億円を超え、業務停止期間は平均10.2日に及ぶ 10

  • サプライチェーンという侵入経路:同調査で第2位にランクされたサプライチェーンの弱点を悪用した攻撃は、製造業の構造的脆弱性を突く巧妙な手口である 9。攻撃者は、強固なセキュリティ対策を講じている大企業を直接狙うのではなく、取引先であるセキュリティの比較的脆弱な中小企業(SME)を最初の標的とする 6。日本の企業数の約9割を占める中小企業 9 を踏み台にすることで、攻撃者は少ない労力で最終的な標的企業のネットワークへの侵入を試みる。この手法は、企業間の信頼関係を悪用するものであり、一度侵入を許せば被害はサプライチェーン全体に連鎖的に拡大するリスクを孕んでいる 6

この二大脅威の組み合わせは、日本の製造業が誇る「ジャストインタイム(JIT)」生産システムのような、高度に連携し、寸断が許されないサプライチェーンモデルそのものに対する根源的な挑戦と言える。一つの部品メーカーの生産停止が、最終製品の組立ライン全体を麻痺させるリスクは、もはや理論上の懸念ではなく、現実に発生している事業継続上の重大な脅威なのである。


脅威の種類

IPA 10大脅威 2024 順位

製造業における統計的顕著性

主要な攻撃手法

ランサムウェアによる被害

1位 9

令和4年に75件と業種別で最多(警察庁)1。2023年は被害全体の34%を占める(IPA)3

VPN機器等の脆弱性の悪用、フィッシングメール、不正アクセス

サプライチェーンの弱点を悪用した攻撃

2位 9

日本の企業の9割を占める中小企業が標的となり、大手企業への侵入経路として悪用される 9

取引先や委託先が保有する機密情報を狙う、ソフトウェア開発元を攻撃する

標的型攻撃による機密情報の窃取

4位 9

製造業が保有する知的財産は攻撃者にとって「最高の獲物」と認識されている 6

Advanced Persistent Threat (APT) による長期間にわたる潜伏と情報窃取



第2章 惨事の解剖:製造業におけるサイバー攻撃インシデントの詳細分析


統計データが示す脅威の深刻さは、実際のインシデント事例を詳細に分析することで、より具体的な事業リスクとして理解できる。本章では、近年国内の製造業を襲った3つの象徴的なサイバー攻撃事例を取り上げ、攻撃がどのように実行され、いかにして事業活動を麻痺させ、そして復旧がいかに困難な道のりであったかを解剖する。これらの事例は、サイバー攻撃が単なる情報漏洩に留まらず、生産停止、サプライチェーンの寸断、そして恒久的なデータ喪失といった、取り返しのつかない損害をもたらす現実を浮き彫りにする。


2.1. ケーススタディ:サプライチェーンのドミノ倒し – 小島プレス工業とトヨタ自動車(2022年2月)


この事例は、サプライチェーンの一点への攻撃が、いかにして日本の基幹産業の中枢を揺るがすかを象徴している。

  • 攻撃ベクトル:攻撃は、トヨタ自動車の主要サプライヤーである小島プレス工業を直接狙ったものではなく、同社の子会社が利用していたリモート接続機器の脆弱性を突くという、典型的なサプライチェーン攻撃の手法で開始された 11。この初期侵入を足掛かりに、攻撃者は親会社である小島プレス工業の社内ネットワークへと侵入範囲を拡大した。

  • 事業へのインパクト:2022年2月26日、ランサムウェア攻撃を受けた小島プレス工業は、全サーバーを停止し、外部ネットワークを遮断するという決断を余儀なくされた 12。同社はトヨタ自動車の内外装部品を供給する一次サプライヤーであり、その部品供給管理システムの停止は、トヨタの生産計画に即座に致命的な影響を及ぼした。結果として、トヨタ自動車は国内全14工場の稼働を1日間完全に停止せざるを得なくなり、約13,000台の自動車生産に影響が出たと報じられている 12

  • 復旧プロセス:小島プレス工業は、インシデント発覚後、直ちにネットワークを遮断し、外部専門家の支援のもとで調査と復旧作業に着手した 13。トヨタの生産再開を最優先するため、本来のネットワークとは別の環境に暫定的な代替ネットワークを構築し、限定的ながら部品取引を再開。これにより、トヨタは3月2日に工場の稼働を再開することができた 13。しかし、これはあくまで応急処置であり、小島プレス工業自体のシステムが完全に復旧するまでには「数ヶ月を要した」とされている 15。幸い、調査の結果、外部への情報流出は確認されなかったものの 16、この一件はサプライチェーンの脆弱性がもたらす経済的損害の巨大さを明確に示した。


2.2. ケーススタディ:境界線の脆弱性を突く – 河村電器産業(2022年4月)


この事例は、企業のネットワーク境界に存在する一般的なリモートアクセス機器の脆弱性が、いかに深刻な内部被害と恒久的なデータ喪失につながるかを示している。

  • 攻撃ベクトル:攻撃者は、多くの企業がリモートワークのために導入しているSSL-VPN機器の既知の脆弱性を悪用して社内ネットワークに侵入した 17。侵入後、「CryptXXX」と呼ばれるランサムウェアを展開し、システムを機能不全に陥れた 17

  • 事業へのインパクト:2022年4月18日、システム動作不良を検知した同社は、攻撃を認識し、製造・販売システムを含む社内システムの停止と外部ネットワークの遮断を実施した 11。攻撃は親会社のみならず、河村電器販売をはじめとする子会社4社にも及び、サーバーやNAS(Network Attached Storage)上のデータが広範囲にわたり暗号化された 18

  • 復旧プロセス:システムの全面的な復旧には1ヶ月半という長い時間を要した 11。しかし、この事例の最も深刻な点は、復旧が完全ではなかったことである。6月6日、同社は暗号化された従業員および退職者の個人情報(氏名、住所、生年月日等)の復旧を断念するという苦渋の決断を下した 11。バックアップからの復元が不可能であったか、あるいはバックアップ自体が被害を受けた可能性が示唆される。この事例は、たとえ身代金を支払わずに復旧を目指したとしても、攻撃によって恒久的なデータ喪失という回復不可能な損害が生じ得ることを物語っている。


2.3. ケーススタディ:標的を絞った特注の脅威 – 本田技研工業(2020年6月)


この事例は、攻撃者が特定の企業を狙い、その環境に合わせてカスタマイズされたマルウェアを用いるという、高度な標的型攻撃の実態を示している。

  • 攻撃ベクトル:攻撃に使用されたのは、「EKANS」(別名Snake)として知られるランサムウェアであった 21。後の解析により、このマルウェアがホンダの社内ネットワーク環境でのみ動作するように特別に設計されていたことが判明した。具体的には、マルウェアは暗号化処理を開始する前に、ホンダの社内でのみ名前解決が可能なドメイン名(mds.honda.com)への接続を試みるというチェック機構を備えていた 21。これは、攻撃者が事前にホンダのネットワーク環境を偵察し、攻撃を成功させるために周到な準備を行っていたことを強く示唆している。

  • 事業へのインパクト:2020年6月8日に発生したこの攻撃は、同社のグローバルな事業活動に深刻な影響を与えた。国内では埼玉製作所の2工場で完成車の出荷が一時停止したほか、海外では北米、トルコ、インド、ブラジルなど9つの四輪・二輪工場で生産停止を余儀なくされた 11。影響は生産現場に留まらず、本社や工場の間接部門の従業員も社内システムにアクセスできなくなり、有給休暇の取得が推奨される事態となった 24

  • 復旧プロセス:グローバルに分散した拠点の復旧は複雑を極めた。国内工場のシステムは比較的早期に復旧したものの、海外の全工場が正常な生産体制に戻るまでには6月12日まで、約4~5日間を要した 22。対応策として多くのPCの初期化が必要となり、一部のデータ損失も発生した 22

これらの事例から導き出されるのは、サイバー攻撃からの復旧が単なるITシステムの修復作業ではなく、数ヶ月にも及ぶ可能性のある、事業継続そのものを揺るがす危機管理対応であるという事実である。さらに、攻撃者が狙うのは必ずしも堅牢に守られた生産システムの中枢ではなく、サプライヤーとの接続点やリモートアクセス用のVPNといった、デジタルエコシステムの「境界線」や「継ぎ目」であることが多い。これらの弱点をいかに保護するかが、現代の製造業におけるセキュリティ戦略の核心となる。


インシデント(企業名、発生年月)

攻撃ベクトル

主要な事業インパクト

復旧のタイムラインと結果

小島プレス工業 / トヨタ自動車 (2022年2月)

サプライチェーン攻撃(子会社のリモート接続機器の脆弱性) 11

トヨタ国内全14工場の稼働停止(生産影響約13,000台) 12

小島プレス工業の完全復旧に数ヶ月。トヨタは代替策で翌日以降に再開 15

河村電器産業 (2022年4月)

SSL-VPN機器の脆弱性悪用 17

製造・販売システムの停止、子会社を含む広範囲なデータ暗号化 11

復旧に1.5ヶ月。従業員・退職者の個人情報は復旧を断念し、恒久的に喪失 11

本田技研工業 (2020年6月)

特注ランサムウェア「EKANS」(社内ドメインを標的) 21

国内2工場出荷停止、海外9工場で生産停止というグローバルな操業停止 23

全世界の工場が正常稼働に戻るまで約4~5日。一部データ損失が発生 22



第3章 工場のアキレス腱:オペレーショナル・テクノロジー(OT)の脆弱性


製造業がサイバー攻撃の格好の標的となる根本的な理由は、その心臓部である生産現場、すなわちオペレーショナル・テクノロジー(OT)システムが抱える固有の脆弱性にある。長年にわたり、これらのシステムは情報技術(IT)の世界とは切り離された、安全な閉域網の中で稼働してきた。しかし、スマートファクトリー化の潮流がこの「エアギャップ」という前提を覆し、OTシステムをサイバー空間の脅威に直接晒すことになった。本章では、ITとOTのセキュリティ思想の根本的な違いを明らかにし、現代の工場が抱える構造的な脆弱性を解き明かす。


3.1. 相容れない二つの世界:ITとOTのセキュリティパラダイム


ITとOTのセキュリティを考える上で最も重要なのは、両者が優先する価値が根本的に異なるという点である。この思想の違いが、OT環境に特有の脆弱性を生み出す温床となっている。

  • 優先順位の対立:ITセキュリティは、一般的に「CIAトライアド」と呼ばれる3つの要素、すなわち機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の順で重要視される 25。つまり、データの保護が最優先される。一方、OTセキュリティではこの優先順位が逆転し、何よりもまずシステムの可用性(Availability)と安全性(Safety)が絶対的に優先される 14。24時間365日稼働する生産ラインを、セキュリティパッチ適用のために数時間でも停止させることは、事業運営上、許容し難いと判断されることが多い 27

  • ライフサイクルの乖離:IT機器のライフサイクルは通常3~5年であり、定期的なリプレースによって最新のセキュリティが担保される。しかし、PLC(プログラマブルロジックコントローラ)や各種産業用制御機器といったOT資産のライフサイクルは15~20年、あるいはそれ以上に及ぶことが珍しくない 26。その結果、多くの工場では、メーカーのサポートが終了した古いオペレーティングシステム(OS)上で重要な生産プロセスが稼働しており、既知の脆弱性が未修正のまま放置されているのが実情である 26


3.2. 現代の工場が抱える構造的脆弱性


ITとOTのパラダイムの違いは、工場の現場に数多くの具体的な脆弱性をもたらしている。

  • レガシーシステムとパッチ適用の困難性:多くのOTシステムは、インターネット接続が一般的でなかった時代に設計されたものであり、そもそもサイバー攻撃に対する防御が考慮されていない 30。これらのレガシーシステムにセキュリティパッチを適用することは、技術的に困難であるだけでなく、精密に調整された生産プロセスに予期せぬ不具合を引き起こすリスクを伴うため、現場からは敬遠されがちである。ダウンタイムがもたらす莫大な損失を考慮すると、脆弱性を抱えたまま稼働を続けるという選択が、経済的合理性から下されてしまう 14

  • IT-OT融合がもたらすリスク:インダストリー4.0やスマートファクトリーの実現に向けたデジタルトランスフォーメーション(DX)は、生産データの活用や遠隔監視を可能にするため、これまで分離されていたITネットワークとOTネットワークの接続を加速させている 26。この融合は生産性向上に寄与する一方で、かつてOTシステムを守っていた「エアギャップ」を事実上消滅させ、ITネットワークに侵入した脅威がOTネットワークにまで侵入・拡散する新たな経路を生み出してしまった 26

  • 可視性の欠如と監視の死角:OTネットワークでは、ITの世界ではあまり使われない独自の通信プロトコルが多用されており、一般的なIT用セキュリティ監視ツールでは通信内容を解析・理解できないことが多い 29。これにより、工場ネットワークは一種の「ブラックボックス」と化し、どのような機器が接続されているかの正確な資産管理も、不審な通信の検知も困難となる。攻撃者が内部で活動を開始しても、生産ラインに異常が発生するまで誰も気付かないという事態が起こり得る 28

  • 組織的なサイロ:OTシステムの管理・運用は生産技術部門や工場長が担い、サイバーセキュリティは情報システム部門が管轄するという組織的な縦割り構造も大きな課題である。両部門間のコミュニケーションは不足しがちで、IT部門は現場のOTシステムを十分に把握しておらず、一方の生産技術部門は最新のサイバー脅威に関する知識が不足している。これにより、OTセキュリティに対する責任の所在が曖昧になり、対策が後手に回る原因となっている 27


3.3. サイバーからフィジカルへ:攻撃がもたらす物理的被害


OTシステムへの攻撃がITへの攻撃と決定的に異なるのは、それがデジタル空間の事象に留まらず、現実世界の物理的な被害に直結する点である。前述のケーススタディで見たような生産停止はもちろんのこと、制御システムの誤作動による製品品質の低下、生産設備の物理的な破損、さらには有害物質の漏洩といった環境事故や従業員の生命を脅かす安全上のインシデントに発展するリスクさえ存在する 30。2021年に米国で発生したコロニアル・パイプライン社へのランサムウェア攻撃は、サイバー攻撃が石油パイプラインという重要インフラの物理的な操業を停止させ、社会全体に広範な影響を及ぼした代表例である 14。OTセキュリティは、もはや情報資産の保護だけでなく、事業の物理的な安全と継続性を守るための根幹なのである。


比較項目

IT環境(情報技術)

OT環境(制御技術)

最優先事項

機密性、完全性、可用性(CIA) 25

可用性、安全性、信頼性 14

システムライフサイクル

3~5年

15~20年以上 26

パッチ適用・更新

頻繁、自動化も多い

稀、計画的な生産停止が必要、高リスク 14

オペレーティングシステム

最新、サポート期間内

旧式、サポート終了済み(例:Windows XP/7)が多い 26

リスク許容度

データ損失への耐性が低い

ダウンタイムや物理的損害への耐性が低い 27

典型的な管轄部門

CIO / 情報システム部門

工場長 / 生産技術部門 27



第4章 デジタルな盾を鍛える:製造業のレジリエンスを高める多層防御戦略


製造業が直面する深刻なサイバーリスクに対抗するためには、単一の技術や場当たり的な対策では不十分である。事業の継続性を確保し、サプライチェーン全体の信頼を維持するためには、技術的防御、組織的ガバナンス、そして公的支援の活用を組み合わせた、多層的かつ戦略的なアプローチが不可欠となる。本章では、工場の現場で導入すべき基礎的な技術対策から、国内外のベストプラクティスであるセキュリティフレームワークの適用、さらにはサプライチェーンの弱点である中小企業を支援する具体的なプログラムまで、 resilient(強靭)な製造業を築くための実践的なロードマップを提示する。


4.1. 工場を守るための基礎的な技術的対策


あらゆるセキュリティ戦略の土台となるのは、脅威の侵入を防ぎ、万が一侵入された場合でも被害を最小限に食い止めるための技術的な防御策である。

  • ネットワークセグメンテーション(領域分離):最も重要かつ効果的な対策の一つが、OTネットワークをITネットワークから論理的・物理的に分離することである。これにより、仮にITネットワークがマルウェアに感染したとしても、その脅威が生産ラインを制御する重要なOT資産にまで波及することを防ぐ「防波堤」を築くことができる。分離されたネットワーク間の通信は、ファイアウォール等を用いて必要最小限のものに厳格に制限する必要がある 14

  • 境界防御とエンドポイント保護:最新のセキュリティツールの導入は、脅威を検知し対処する能力を飛躍的に向上させる。

  • UTM (Unified Threat Management):企業のネットワークの出入り口に設置され、外部からの不正な通信や攻撃を検知・遮断する統合脅威管理アプライアンス。ファイアウォール、不正侵入検知・防御(IDS/IPS)、アンチウイルス、ウェブフィルタリングなど、複数のセキュリティ機能を一台で提供する 6

  • EDR (Endpoint Detection and Response):サーバーやPCなどの個々の端末(エンドポイント)に導入され、UTMなどの境界防御をすり抜けて内部に侵入した脅威の不審な振る舞いを検知し、迅速な対応を可能にする。侵入後の被害拡大を防ぐための最後の砦として、その重要性が高まっている 6。東京都が中小企業向けに提供する無料支援事業では、これらUTMとEDRの試用導入がメニューに含まれており、その有効性を実際に体験する機会が提供されている 6。


4.2. ガバナンスとベストプラクティスのための戦略的フレームワークの導入


技術的対策を効果的に機能させるためには、それらを組織的なルールやプロセスに落とし込むための指針、すなわちセキュリティフレームワークの導入が不可欠である。国内外で実績のある複数のフレームワークが存在し、これらを自社の状況に合わせて組み合わせることで、網羅的で実効性のあるセキュリティ体制を構築できる。

  • 国内向け実践ガイド:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」:日本の工場の実情に合わせて策定された、極めて実践的な手引きである 30。このガイドラインは、抽象的な理念ではなく、現場が取り組むべき具体的なステップを提示している。

  • ステップ1:整理:自社の経営目標や内外の要求事項を整理し、守るべき業務と保護対象(システム、機器、データ)を洗い出し、その重要度を評価する 32

  • ステップ2:立案:整理した情報に基づき、セキュリティ対策の方針を策定し、想定される脅威に対して具体的な対策を紐付ける 32

  • ステップ3:実行とPDCAサイクル:策定した計画を実行に移し、運用状況を継続的に評価・見直しを行うPDCA(Plan-Do-Check-Act)サイクルを確立する。サプライチェーン対策もこのステップに含まれる 32

  • 国際標準:IEC 62443:産業用オートメーション及び制御システム(IACS)のセキュリティに関する、世界的なデファクトスタンダードである 34。この規格に準拠することは、自社のセキュリティレベルが国際的なベストプラクティスに沿っていることを示す強力な証明となる。特にグローバルに事業を展開する企業や、サプライヤーに対して統一的なセキュリティ基準を求める際に有効である。規格群は多岐にわたるが、工場の利用者(アセットオーナー)にとっては、組織のポリシーや手順を定める「IEC 62443-2」シリーズと、システム全体の技術要件を定める「IEC 62443-3」シリーズが特に重要となる 35

  • 統合的リスク管理:NIST Cybersecurity Framework (CSF):米国国立標準技術研究所(NIST)が策定した、組織全体のサイバーセキュリティリスクを管理するための包括的なフレームワークである 36。CSFは「統治」「識別」「防御」「検知」「対応」「復旧」という6つの機能で構成され、IT・OTを問わず、組織のセキュリティ対策の成熟度を評価し、経営層を含むステークホルダーと共通言語で対話するための優れたツールとなる。2024年に公開された最新版のCSF 2.0では、適用範囲が重要インフラから全ての組織に拡大され、ガバナンスとサプライチェーンリスク管理の重要性が一層強調されている 37

これら3つのフレームワークは、競合するものではなく、相互に補完し合う関係にある。NIST CSFで企業全体の高レベルなリスク管理方針を定め、経済産業省のガイドラインを現場での具体的な計画・実行ツールとして活用し、IEC 62443をシステム設計や調達における技術的な要求基準として参照するという、階層的なアプローチが理想的である。


4.3. サプライチェーンの強化:中小企業向け支援策の活用


サプライチェーンの最も脆弱な環(ウィーケストリンク)となりがちな中小企業のセキュリティレベルを底上げすることは、サプライチェーン全体のレジリエンス向上に直結する。この課題に対応するため、国や自治体による具体的な支援策が用意されている。

  • 東京都 中小企業サイバーセキュリティ支援事業:東京都内に事業所を持つ中小企業を対象とした無料の支援プログラム。専門家による訪問またはオンラインでのアドバイスに加え、前述のUTMやEDRといった最新のセキュリティ機器を3ヶ月間無料で試用できるなど、実践的な支援が提供される 6

  • IPA「サイバーセキュリティお助け隊サービス」:独立行政法人情報処理推進機構(IPA)が主導する全国的な取り組み。中小企業が直面する「何から手をつければよいか分からない」「コストをかけられない」という課題を解決するため、国が定めた基準を満たす民間のセキュリティサービスを認定・リスト化している 38。認定サービスは、一般的に「24時間365日のネットワーク監視」「インシデント発生時の相談・駆け付け支援」「簡易的なサイバー保険」などをワンパッケージで、月額1万円程度からという安価な価格で提供する 40。さらに、このサービスの導入費用(最大2年分)は「IT導入補助金」の対象となっており、初期投資の負担を大幅に軽減できる 39。この制度は、個々の中小企業が抱えるセキュリティ投資の課題を、市場メカニズムと公的支援を組み合わせて解決し、サプライチェーン全体の安全性を高めるための戦略的な産業政策と位置づけられる。


フレームワーク/支援プログラム

主管機関

主な対象者

主要な特徴・目的

利用方法・コスト

工場セキュリティガイドライン

経済産業省(日本)

工場管理者、IT/OT担当者

日本の工場向けの実践的なセキュリティ対策の計画・実行手順書 30

METIウェブサイトから無料ダウンロード

IEC 62443

IEC/ISA(国際)

設備所有者、システムインテグレーター、製品ベンダー

IACSセキュリティに関する包括的な国際標準規格。サプライチェーンでの要求基準に適する 34

規格文書の購入が必要

NIST CSF

NIST(米国)

経営層、リスク管理者

IT・OTを含む企業全体のリスク管理フレームワーク。ガバナンスと対話に有効 36

NISTウェブサイトから無料ダウンロード

東京都サイバーセキュリティ支援

東京都

都内の中小企業

UTM/EDRの無料試用、専門家によるコンサルティング 6

無料(要申込)

サイバーセキュリティお助け隊サービス

IPA(日本)

全国の中小企業

監視・対応・保険を安価なパッケージで提供。IT導入補助金の対象 39

低価格な月額料金。補助金活用可



第5章 戦略的提言と今後の展望


本レポートで詳述してきたように、日本の製造業は今、事業の根幹を揺るがしかねないサイバーセキュリティという新たな、そして深刻なリスクに直面している。この脅威は技術的な問題に留まらず、経営戦略、組織文化、そしてサプライチェーン全体の在り方に関わる複合的な課題である。この最終章では、これまでの分析を総括し、経営層が取るべき具体的な行動指針を提言するとともに、今後予想される脅威の変化について展望する。


5.1. 経営層に求められる必須の行動指針


サイバーレジリエンス(回復力)を備えた強靭な製造業を構築するためには、経営層の強力なリーダーシップとコミットメントが不可欠である。以下の4つの行動指針を、喫緊の経営課題として実行に移すべきである。

  • OTセキュリティの取締役会マター化:サイバーセキュリティ、とりわけ工場の生産ラインを直接脅かすOTセキュリティを、単なるIT部門の課題ではなく、財務リスクや安全管理リスクと同等の、全社的な事業継続に関わる最重要リスクとして位置づける必要がある。取締役会レベルでの定期的な状況報告と監督体制を確立し、コーポレート・ガバナンスおよびリスクマネジメントの枠組みに明確に組み込むべきである。

  • OTに特化した戦略的投資の断行:従来のITセキュリティ予算やツールがOT環境には通用しないという現実を直視し、OTセキュリティに特化した専門的な予算を確保する必要がある。現在多くの工場で見られる年間100万円未満といった予算規模は、直面するリスクの大きさに比して明らかに不十分である 8。ネットワークの可視化ツール、セグメンテーションの導入、OTに知見を持つ専門人材の確保・育成など、的を絞った戦略的投資が求められる。

  • 組織のサイロの打破:IT部門、OTを管轄する生産技術部門、そして事業部門間の壁を取り払い、協調的な文化を醸成することが極めて重要である。OTセキュリティに関する責任分担を明確化し、各部門の担当者が互いの領域の知識を深めるための合同研修などを通じて、リスクに対する共通認識を構築すべきである。

  • サプライチェーンリスクの能動的な管理:自社の対策を完璧にしても、取引先の脆弱性を突かれれば元も子もない。サプライチェーンセキュリティに対して、受動的な姿勢から能動的な管理へと転換する必要がある。主要なサプライヤーに対しては、契約を通じて最低限のセキュリティ対策基準を要求し、定期的なセキュリティ評価を実施する。さらに、IPAの「サイバーセキュリティお助け隊サービス」のような公的支援プログラムへの加入を推奨・支援することも、サプライチェーン全体の底上げに有効な手段となる。


5.2. 進化し続ける脅威のランドスケープ


サイバー攻撃の手法は常に進化しており、今日の防御策が明日も有効であるとは限らない。今後は、以下のような新たな脅威の台頭が予想される。

  • AIを活用した攻撃の高度化:攻撃者がAIを用いて脆弱性の探索や攻撃コードの生成を自動化・高速化し、防御側の対応を上回るスピードで攻撃を仕掛けてくる可能性がある。

  • IIoTによる攻撃対象領域の拡大:インダストリー4.0の進展に伴い、工場内に設置されるセンサーやデバイス(IIoT: Industrial Internet of Things)の数は爆発的に増加する。これらのデバイス一つひとつが新たな侵入口となり得り、攻撃対象領域(アタックサーフェス)はますます拡大していく。

  • 地政学的リスクの高まり:国家間の対立がサイバー空間に持ち込まれ、重要インフラの一部である大手製造業の生産拠点が、経済活動の妨害や社会の混乱を狙った国家主導のサイバー攻撃の標的となるリスクが増大している。


5.3. レジリエンスへの道:終わりなき継続的な改善の旅


結論として、サイバーセキュリティ対策は一度導入すれば完了する「プロジェクト」ではなく、変化し続ける脅威に対応し続けるための「継続的なプロセス」である。経済産業省のガイドラインが推奨するように、PDCA(Plan-Do-Check-Act)サイクルを組織文化として根付かせ、常に自社の防御態勢を評価し、改善し続けることが不可欠である 32

目先のインシデントに対応する「止血」措置は当然必要だが、真のレジリエンスは、経営層の強い意志のもと、技術、組織、プロセス、そしてサプライチェーン全体にわたる、長期的かつ戦略的な取り組みを通じてのみ達成される。この終わりなき旅へのコミットメントこそが、デジタル時代の製造業に求められる最も重要な経営判断と言えるだろう。



引用文献


  1. 令和4年におけるサイバー空間をめぐる脅威の情勢等について - 警察庁, 9月 3, 2025にアクセス、 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

  2. ICS関連のセキュリティインシデント対応に備えて - JPCERT コーディネーションセンター, 9月 3, 2025にアクセス、 https://www.jpcert.or.jp/present/2024/ICSR2024_06_JPCERTCC.pdf

  3. Untitled - 独立行政法人情報処理推進機構, 9月 3, 2025にアクセス、 https://www.ipa.go.jp/publish/wp-security/eid2eo0000007gv4-att/2024_Chap1.pdf

  4. 「インシデント損害額 調査レポート 別紙「被害組織調査」」 - JNSA, 9月 3, 2025にアクセス、 https://www.jnsa.org/result/incidentdamage/data/2024-2.pdf

  5. 制御システム・セキュリティの現在と展望~この1年間を振り返って ..., 9月 3, 2025にアクセス、 https://www.jpcert.or.jp/present/2025/ICSSConf2025_01_JPCERTCC.pdf

  6. サイバー攻撃でライン停止?損失数千万円も!~“止まらない生産”を ..., 9月 3, 2025にアクセス、 https://www.dreamnews.jp/press/0000328436/

  7. 2023 年ランサムウェア グローバル調査レポート - Fortinet, 9月 3, 2025にアクセス、 https://www.fortinet.com/content/dam/fortinet/assets/white-papers/ja_jp/report-2023-ransomware-global-research.pdf

  8. 令和4年度に行った調査結果及び 今後の取組について - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_kojo/pdf/005_05_00.pdf

  9. IPA 情報セキュリティ10大脅威 2024を読み解く-サイバー脅威に求め ..., 9月 3, 2025にアクセス、 https://www.sqat.jp/kawaraban/27942/

  10. 過去3年間で70.9%がサイバー攻撃を経験、3年間の累計被害額は平均1.7億円、ランサムウェア被害経験企業では平均2.2億円 | トレンドマイクロ (JP) - Trend Micro, 9月 3, 2025にアクセス、 https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20241210-01.html

  11. 事例から学ぶ、被害最大の「製造業」ランサムウェア対応 | BizDrive(ビズドライブ), 9月 3, 2025にアクセス、 https://business.ntt-east.co.jp/bizdrive/column/post_225.html

  12. サプライチェーン攻撃とは?手法や事例から学ぶ5つの対策方法 | レポート | PROTRUDE, 9月 3, 2025にアクセス、 https://protrude.com/report/supply-chain-attack/

  13. サプライヤーのシステム障害によるトヨタ自動車の国内全工場停止についてまとめてみた - piyolog, 9月 3, 2025にアクセス、 https://piyolog.hatenadiary.jp/entry/2022/02/28/224420

  14. OTセキュリティとは?~サイバー攻撃被害事例、ITセキュリティとの違いを踏まえて対策ポイントを解説|Global Reach, 9月 3, 2025にアクセス、 https://www.iij.ad.jp/global/column/column140.html

  15. ランサムウェア 事例|2022年|セキュリティニュースのセキュリティ対策Lab - 合同会社ロケットボーイズ, 9月 3, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/ransomware-case-studies-2022/

  16. 小島プレス工業株式会社 システム停止事案調査報告書(第 1 報), 9月 3, 2025にアクセス、 https://www.kojima-tns.co.jp/wp-content/uploads/2022/03/20220331_%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E9%9A%9C%E5%AE%B3%E8%AA%BF%E6%9F%BB%E5%A0%B1%E5%91%8A%E6%9B%B8%EF%BC%88%E7%AC%AC1%E5%A0%B1%EF%BC%89.pdf

  17. 2022 年 7 月 1 日 各位 河村電器産業株式会社 常務執行役員 伴 覚守 ランサムウェアによる不正ア, 9月 3, 2025にアクセス、 https://www.kawamura.co.jp/wp/wp-content/uploads/2022/07/%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AB%E3%82%88%E3%82%8B%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%94%E5%A0%B1%E5%91%8A%EF%BC%88%E6%9C%80%E7%B5%82%EF%BC%89.pdf

  18. 分電盤【河村電器産】でランサムウェア感染 4社の子会社でも障害 | サイバーセキュリティ総研, 9月 3, 2025にアクセス、 https://cybersecurity-info.com/news/ransomware-from-kawamura-electric/

  19. ランサム攻撃で従業員情報が暗号化、復旧は断念 - 河村電器 - Security NEXT, 9月 3, 2025にアクセス、 https://www.security-next.com/138085

  20. 2022年 - 河村電器産業株式会社 | ニュース, 9月 3, 2025にアクセス、 https://www.kawamura.co.jp/news/20220711/

  21. 最新の攻撃事例から考える テレワークを前提としたエンドポイントセキュリティ - EnterpriseZine, 9月 3, 2025にアクセス、 https://enterprisezine.jp/article/detail/13474?p=2

  22. 国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog, 9月 3, 2025にアクセス、 https://piyolog.hatenadiary.jp/entry/2020/06/10/030123

  23. 標的型・暴露型のランサムウェア, 9月 3, 2025にアクセス、 https://www.ffri.jp/assets/files/Youtube/202012target_ransamware.pdf

  24. ホンダのランサムウェア被害から学ぶこと, 9月 3, 2025にアクセス、 https://products.nvc.co.jp/blog/what-to-learn-from-honda-damage

  25. IoTセキュリティとOTセキュリティの違いは? - Palo Alto Networks, 9月 3, 2025にアクセス、 https://www.paloaltonetworks.jp/cyberpedia/iot-security-vs-ot-security

  26. OTセキュリティとは?製造業でのリスクと防御策を徹底解説, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/column/102055

  27. OTセキュリティとは?ITとの違いや重要性について解説 - ものづくり ワールド, 9月 3, 2025にアクセス、 https://www.manufacturing-world.jp/hub/ja-jp/blog/article3.html

  28. OTセキュリティーとは - IBM, 9月 3, 2025にアクセス、 https://www.ibm.com/jp-ja/think/topics/ot-security

  29. OTセキュリティの脅威に向けた対策 | EY Japan, 9月 3, 2025にアクセス、 https://www.ey.com/ja_jp/insights/technology-risk/countermeasures-against-ot-security-threats

  30. 工場システムにおける サイバー・フィジカル・セキュリティ対策 ガイドライン - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.1.pdf

  31. 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方 | PwC Japanグループ, 9月 3, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/factory-security-guideline.html

  32. 経済産業省の工場セキュリティガイドラインとは?, 9月 3, 2025にアクセス、 https://ot-security.terilogy.com/blog/%E7%B5%8C%E6%B8%88%E7%94%A3%E6%A5%AD%E7%9C%81%E3%81%AE%E5%B7%A5%E5%A0%B4%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3%E3%81%A8%E3%81%AF

  33. 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

  34. IEC 62443シリーズの概要と近年の動向 | PwC Japanグループ, 9月 3, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digitizing-factory-cyber-security-iec62443.html

  35. IEC 62443の位置付け - KPMGジャパン, 9月 3, 2025にアクセス、 https://kpmg.com/jp/ja/home/insights/2022/01/ot-security-iec01.html

  36. NISTベストプラクティスに従って製造業にサイバーセキュリティを実装 | Rockwell Automation, 9月 3, 2025にアクセス、 https://www.rockwellautomation.com/ja-jp/company/news/magazines/cybersecurity-nist.html

  37. NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?, 9月 3, 2025にアクセス、 https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0

  38. サイバーセキュリティお助け隊サービス ユーザー向けサイト | IPA, 9月 3, 2025にアクセス、 https://www.ipa.go.jp/security/otasuketai-pr/

  39. あなたの会社を守ります! ―サイバーセキュリティお助け隊サービス - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/otasuketai.html

  40. サイバーセキュリティお助け隊について, 9月 3, 2025にアクセス、 https://www.mhlw.go.jp/content/10808000/000943452.pdf


中小企業におけるサイバーセキュリティの脅威と対策, 9月 3, 2025にアクセス、 https://security-portal.nisc.go.jp/cybersecuritymonth/2025/seminar/pdf/seminar_ejima.pdf



All Tags

bottom of page