製造業がSCS対応を急ぐべき理由

製造業はサプライチェーン攻撃の最大の標的となっています。2022年に自動車部品メーカーがランサムウェア攻撃を受けた際には、完成車メーカーの国内全工場が操業停止に追い込まれました。食品工場でも生産管理システムへの不正アクセスにより、出荷が数日間停止する事例が発生しています。

SCS評価制度は、こうしたサプライチェーン全体のセキュリティリスクを可視化し、取引先間で信頼を担保するための格付け制度です。大手メーカーが取引先に★3以上の取得を求める動きが加速しており、製造業にとって対応は急務です。

サプライチェーン攻撃の被害事例

自動車部品メーカーへのランサムウェア攻撃(2022年)では、完成車メーカー14工場28ラインが丸1日停止し、約1万3千台の生産に影響が出ました。攻撃の入口はVPN装置の脆弱性でした。

製造業特有のセキュリティ課題

製造業のSCS対応が難しいのは、IT環境とOT環境の両方を守る必要があるためです。一般的なオフィスのIT対策だけでは不十分です。

  • OT/IT統合環境:生産管理システム(MES)がクラウドやERPと接続され、攻撃の侵入経路が拡大
  • レガシー設備:Windows XPやWindows 7で稼働する制御端末がパッチ適用不可の状態で残存
  • IoTデバイスの増加:センサー、カメラ、PLCなど管理対象デバイスが数百〜数千台規模に
  • 工場ネットワークの平坦化:セグメント分離されておらず、1台の感染が全体に波及するリスク
  • 可用性最優先の文化:「止められない」工場ではセキュリティパッチの適用が後回しになりがち

★3要件と製造業の具体的対応策

SCS評価制度★3の要求事項を製造業の文脈で整理すると、以下のような対応が求められます。

要件カテゴリSCS要求事項製造業での具体策
資産管理情報資産の特定・管理IT資産+OT資産(PLC、HMI、センサー等)の台帳整備
アクセス制御MFA、権限管理オフィスIT:Entra ID条件付きアクセス/工場:物理アクセス制御
ネットワーク防御セグメンテーションIT/OT間のDMZ設置、産業用ファイアウォール導入
マルウェア対策EDR導入IT端末:Defender for Business/OT端末:ホワイトリスト型対策
バックアップデータ保護・復旧生産データ、PLCプログラム、設定ファイルの定期バックアップ
インシデント対応検知・対応・報告体制IT-CSIRT+OT-CSIRTの連携体制構築
サプライチェーン管理取引先のセキュリティ確認主要サプライヤーへのSCS★取得要請・確認プロセス

OT環境のSCS対応

OT環境の対策は、ITとは異なるアプローチが必要です。スマート工場のセキュリティを確保しつつ、生産を止めない対策が求められます。

ネットワーク分離(Purdue Model準拠)

  • Level 0-1(制御層):PLC、センサー、アクチュエータを隔離ネットワークに配置
  • Level 2-3(監視層):SCADA、MESをDMZ経由でのみIT側と通信
  • Level 4-5(IT層):ERP、クラウドサービス等の通常IT環境

OT資産管理の現実解

レガシー設備が多い工場では、すべてのOT資産にエージェントを導入するのは非現実的です。以下の段階的アプローチを推奨します。

  • Phase 1:ネットワークトラフィック分析による資産の自動検出
  • Phase 2:重要度の高い設備からパッシブ型モニタリングを導入
  • Phase 3:設備更新のタイミングでセキュリティ機能を組み込んだ新規設備へ移行
パッチ管理の現実

OT環境では「パッチを当てられない」設備が多数存在します。その場合は仮想パッチ(IPS/IDS)による代替策や、ネットワーク分離による封じ込めでリスクを低減します。SCS評価でも「代替策の実施」は有効な対応として認められます。

Microsoft 365+Intuneでの対応

製造業のIT環境側は、Microsoft 365を活用した技術対策で効率的にカバーできます。

  • Entra ID:全従業員のMFA適用、条件付きアクセスによるデバイス・場所ベースの制御
  • Intune:オフィスPC・タブレットの一元管理、コンプライアンスポリシーの適用
  • Defender for Business:EDRによるマルウェア検知・自動対応
  • Microsoft 365 Backup:メール、SharePoint、OneDriveの自動バックアップ

OT環境の対策は別途専門ソリューションが必要ですが、IT側をM365で固めることで、SCS★3の要件の大半をカバーできます。

BTNコンサルティングの支援

BTNコンサルティングのSCS対応支援では、製造業特有のOT/IT統合環境を考慮した★取得ロードマップの策定から技術実装までをワンストップで支援しています。

  • OT/IT資産の棚卸しとリスクアセスメント
  • ネットワーク分離設計(Purdue Model準拠)
  • Microsoft 365によるIT側セキュリティ基盤の構築
  • SCS★3自己評価の代行・申請サポート
  • サプライヤー向けセキュリティ要件の策定支援

製造業のSCS対応でお悩みの方は、SCS評価制度の概要ページもあわせてご覧ください。

参考リンク
経産省 サイバーセキュリティ政策 ↗IPA スマート工場セキュリティ ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。