「変化するサイバー脅威に備える」
OTセキュリティー、サプライチェーン攻撃から見る
2024年と2025年の展望

テクノロジーリスク勉強会 1月24日

アイディルートコンサルティング
CISOサービス事業部 パートナー(事業部長)
吉田卓史氏

テクノロジーリスク勉強会を1月24日に開催

サプライヤーのセキュリティー対策を評価

テクノロジーリスク勉強会は1月24 日、オンラインで開催。アイディルートコンサルティングCISOサービス事業部パートナー(事業部長)の吉田卓史氏が、2024年に発生したサイバー脅威の重大事例や最新の動向をもとに、2025年に向けて製造業が取るべきOTセキュリティー対策やサプライチェーン攻撃への備えについて解説した。

OTは工場やビルなどの管理に用いられる制御技術のこと。近年OTセキュリティーの重要性が高まっている背景について、吉田氏はIoTやDXの導入でOT機器がインターネットにつながり閉域網ではなくなってきていることを指摘、特に「改正経済安全保障推進法で規定された15分野には重点的な対策が求められる」とした。

OTを狙う攻撃者の手法は主に「混乱させる(Disrupt)」「無効化する(Disable)」「拒否させる(Deny)」「だます(Deceive)」「破壊する(Destroy)」に分かれ、その頭文字から「5D」と呼ばれるという。ここ最近の日本では名古屋港コンテナターミナルや大手レンズメーカーHOYAの社内システムが攻撃を受け、甚大な被害が発生したと説明した。

今後については「AI との統合で攻撃のさらなる加速があり得る。セキュリティー対策の遅れが狙われやすくなる」とし、まずは「ネットワークの見える化が重要」と強調。そのうえで「ネットワーク分離やSOC、CSIRTによるネットワーク監視などの対策が求められる」と述べた。

またサプライチェーン攻撃については、IPA(情報処理推進機構)が発表した2024年の組織における情報セキュリティー10大脅威で2位にランクインしたことを紹介。「セキュリティーの脆弱な取引先や工場をねらい、そこから標的の大企業へ侵入する攻撃手法が増加している」と説明した。

吉田氏は、サプライチェーン攻撃は件数が増加しているうえ攻撃自体も高度化しているとし、委託先契約内容の確認や脆弱性管理ソフトを用いた納品物の検証が重要と指摘。サプライチェーン全体のリスクを可視化する評価サービスの導入も有効と話した。

また、経済産業省が構想している「サプライチェーン対策評価制度」に言及。サプライチェーン上の企業のセキュリティー対策水準をクラス分けする制度で「導入されれば各企業の対策の強度が評価されるようになる。今後は、こうした制度を活用したセキュリティー対策も重要になる」とした。

PRO会員(ライトは除く)のアーカイブ視聴はこちら。2025年4月30日まで。