トヨタ自動車、小島プレス工業のサイバー被害を振り返る
今回のテーマは「サイバーセキュリティ」です。
ロシアがウクライナに軍事侵攻を開始した直後の2022年3月、日本ではもう1つ、大きな出来事が起こりました。トヨタ自動車(7203)のサプライヤーの1つである「小島プレス工業(未上場)」がサイバー攻撃を受け、その影響でトヨタ自動車の国内工場のすべてが停止してしまったのです。
この出来事はトヨタ自動車でさえサイバー攻撃の前には無力なのか、と世間を驚かせました。言うまでもなく、トヨタ自動車は世界最大の自動車メーカーです。時価総額でも国内最大、日本のモノづくりの頂点に君臨する巨大企業です。
そのトヨタ自動車の全工場がたちまちダウンしてしまいました。報道によれば2月26日夜に小島プレス工業のサーバーに障害が発生しました。それは単なる障害ではなく、ほどなくデータへの身代金の支払いを要求する脅迫文が届き、何者かによるサイバー攻撃だと判明しました。
小島プレス工業側はすぐに外部との接続をすべて遮断しましたが、それによって部品の受発注を行うシステムがまったく使えなくなり、納入先であるトヨタ自動車とその系列企業に部品が届けられず、結果として3月1日になってトヨタ自動車のすべての工場が稼働を停止したということです。
危ぶまれる日本のサイバーセキュリティ
トヨタ自動車に限らず、同様の被害は日本の大企業、中堅・中小企業の至るところで発生しています。帝国データバンクはトヨタ自動車の工場がすべて停止した直後に緊急の調査を行いました。それによれば「最近1ヶ月以内にサイバー攻撃を受けた」と答えた企業は調査全体の28%に達しました。大企業に限れば、調査対象の3割を超えていたそうです。
日本企業のセキュリティ対策はシステムが旧式で、世界と比較するとかなり遅れていると言われています。日本経済新聞社が実施した「日経平均の構成銘柄」225社を対象とした調査でも、サイバー攻撃を受ける危険性を抱える企業は4割に上ったそうです。
トヨタ自動車はすべてのサプライヤーと「カンバン方式」と呼ばれる独自の生産管理システムを構築しています。その規模は直接取引を行っている1次供給先だけで400社を超え、トヨタ自動車の誇る「在庫ゼロ」の生産方式「ジャスト・イン・タイム」を構築してきました。
その強固なネットワークによる緊密な繋がりが、サイバーセキュリティ上ではかえって仇となっています。サプライチェーンのどこか1ヶ所でもセキュリティ上に弱点があると、侵入者はその弱い部分を突いてネットワークに侵入してきます。
ネットワークの最弱レベルの部分が、グループ全体のセキュリティのレベルを決定するとされ、日本最大のトヨタ自動車といえども、盤石というには程遠い状態にあることが露呈しました。トヨタ自動車の水準でこの状況なので、日本全体を見渡した時、どこにサイバーセキュリティ上の弱点があるか、誰も明確には答えられません。
巧妙に変容するサイバー攻撃、迫られる対応策
トヨタ自動車が工場を停止した日、松野博一官房長官は記者会見の場で、広く日本の産業界に対してサイバーセキュリティの強化を呼びかけました。ウクライナ紛争の勃発直後だっただけに政界、官界でも危機感は強く、経済産業省、警察庁、内閣サイバーセキュリティセンターなど関係省庁がすぐに集まって対策強化に乗り出しました。
サイバー攻撃の手法は以前と比べて大きく変化しています。かつては不特定多数を狙って騒ぎを大きくする「愉快犯」のような攻撃が主流でした。それが近年は「ターゲット型攻撃」と呼ばれる、標的を絞り込んだサイバー攻撃が増えています。
最初から特定の個人や組織をターゲットとして、準備周到に巧妙な手口を使って攻めてくるケースが増えているのです。こうなると予防的な対策だけではサイバー攻撃を防ぐことはできません。
現代のサイバーセキュリティは、これまでとは異なり、サイバー攻撃を検知する防御策を講じるだけでなく、被害に遭った場合を前提として、いかに迅速に復旧を行うか、事後的な対策を講じておくことが必要です。「対策はこれで十分」という見地はもはやあり得ません。
複雑化するネットワークセキュリティ、利便性と危険性はトレードオフ
ネットワークのセキュリティリスクはインターネットの普及と深く関係しているため、近年はクラウドの広がり、IoT(インターネット・オブ・シングス)の普及によって、より複雑さを増しています。
IoTは「モノのインターネット」と呼ばれ、これまではインターネットに接続されていなかった個人宅のエアコンや冷蔵庫、自動車、スマホ、Wi-Fiルーターなどの電子機器がネットワークで繋がるようになりました。私たちの日常生活で特に意識することもないままに、ネットワークが急速に膨張してゆく状況が訪れています。
IoTの普及によって世の中はより便利で効率的になるとされていますが、同時にそれは、ネットワーク上に繋がるデバイスの数が従来と比べて飛躍的に増え、それだけセキュリティリスクも増大することを示唆します。IoT社会のメリットが大きい分だけ、ひとたびネットワーク内でセキュリティリスクが発生した場合、影響は想像を超えて大きくなる可能性があります。
IoTの管理が難しいのは、デバイス側の性能とリソースが限られているという点にもあります。例えばWi-Fiルーターやハンディターミナルなどの製品は躯体が小さいため、セキュリティ対策のソフトウェアをデバイス上で動かすことができません。そもそも流量計やセンサーなど、モニターの付いていないデバイスではセキュリティ問題の存在すら把握できないとされています。
IoTと並んで近年注目されているのが「OT」です。OTとは「オペレーショナル・テクノロジー」の略で、製造工程での「運用技術」を指し、工場やプラントの機械設備や生産工程を監視、制御するハードとソフトを融合させた技術です。
IT(インフォメーション・テクノロジー、情報技術)とは区別されて用いられますが、IoTばかりでなく「OT」もセキュリティ上でこれから問題になることが多くなるはずです。新型コロナウイルスの感染拡大は在宅勤務(テレワーク)の重要性を社会に強く認識させましたが、ここにもネットワークセキュリティの落とし穴が存在します。
社会のデジタル化の波は広がる一方で、後戻りすることはあり得ません。以前から存在するセキュリティリスクが増大するだけでなく、これまで想定してこなかった新しいリスクが急速に増大していることも事実です。
持続的で安定した社会を目指す上で、IoT、OT、テレワークはメリットばかりでなくリスクも内包しており、利便性と危険性はトレードオフの関係にあると普段から強く意識しなくてはなりません。セキュリティリスクへの対処を忘れないように、以下に株式市場における関連銘柄をいくつかリストアップします。
世界的な対策が講じられる今、注目のサイバーセキュリティ関連銘柄
■サイバーセキュリティ関連
野村総合研究所(4307)
野村証券系のコンサルティング、システム会社。野村ホールディングス(8604)とセブン&アイ・ホールディングス(3382)を2大クライアントに抱えており、金融と流通に加えて製造業にも強い。2023年4月に新たな中期経営計画を策定し、企業のDX推進を事業支援するスタンスを前面に打ち出した。2022年4月にはラック(3857)、グローバルセキュリティエキスパート(4417)と3社でサイバーセキュリティリスク対策を支援する団体「サイバーセキュリティイニシアティブジャパン」を設立。企業や業界を超えて、日本社会や産業界全体のセキュリティレベルの底上げを目的に、セキュリティ対策と人材提供で活動を行っている。
デジタルハーツホールディングス(3676)
ゲームソフトのデバッグ(不具合の検出)が柱。約8,000人の人的リソースを武器に国内のゲームデバッグでは高いシェアを有する。近年は非ゲーム分野を強化しており、ウェブ周辺のセキュリティをトータルでサポートするサービスを展開。「ゼロデイ」(ソフトウウェアに見つかったセキュリティの脆弱性のうち修正プログラムがリリースされる前の状態)にも迅速に対処する。実際のサイバー攻撃と同じレベルの疑似攻撃を仕掛けてシステム全体のセキュリティレベルを評価する疑似攻撃テストも実施している。
SBテクノロジー(4726)
ソフトバンク(9434)の子会社でグループ内のシステム開発を担当。その他、企業のセキュリティ対策やクラウド化支援が事業の中心となっている。同社の「マネージドセキュリティサービス」はセキュリティ分野の専門アナリストが24時間体制でセキュリティ状態の監視、ログ解析を実施している。セキュリティ対策の提案、導入、運用支援までをトータルでカバーするシステムで、官公庁、自治体、製造業、金融機関、建設業など幅広い業界で導入されている。発見することが困難とされる標的型サイバー攻撃にも有効とされている。
マクニカホールディングス(3132)
2015年に富士エレクトロニクスとマクニカが経営統合して持株会社として誕生。国内最大規模の半導体商社だがセキュリティ製品にも強い。世界中から突出した機能を備えたセキュリティ製品を発掘し、一次代理店として日本へいち早く提供してきた。IoTセキュリティとして提供する「Thales(タレス)」は、HSM(ハードウェアセキュリティモジュール)によるセキュリティの高い暗号鍵管理ソリューション。また、OTセキュリティとして提供する「Forescout(フォアスカウト)」でデバイス全体を可視化、制御、監視・運用することができる。
参考文献:
「よくわかる最新サイバーセキュリティ対策の基本」(2023年、秀和システム)
「セーフティ&セキュリティ入門」(2021年、日科技連)
日本経済新聞
