サイバーニュース.jp

世界のサイバーなニュースを配信

製造業を襲うサイバーリスクの深刻化:AIとクラウドシステムへの移行で

カテゴリ:

製造業におけるサイバー攻撃の現状と影響

2025年8月、自動車製造大手ジャガー・ランドローバーはサイバー攻撃を受け、1ヶ月間の生産停止を余儀なくされました。同社は、生産中断、米国からの輸入車への関税、旧モデルの段階的廃止などにより、6億5千万ドルの損失に加え、約2億6千万ドルのサイバーセキュリティ関連費用を報告しています。通常1日約1,000台を生産する英国の高度自動化された生産ラインの予期せぬ停止は、広範なグローバルサプライチェーンにも混乱をもたらしました。労働組合や関係者は、突然の事業損失により数千人の従業員が一時解雇され、中小サプライヤーが倒産する可能性を指摘しています。メーカーがプロセスをデジタル化するにつれて、このような事態は増加しています。専門家は、効率性、収益性、そして人的労働への依存度を減らすために、より多くの企業が人工知能(AI)やクラウドシステムを急速に導入する一方で、サイバーセキュリティ対策が後回しになっていることに懸念を表明しています。

AI・クラウド導入がもたらす新たな脆弱性

デロイトの「2025年スマートマニュファクチャリング調査」によると、米国の主要製造業企業600社の経営幹部の57%がクラウドシステムを使用していると回答し、29%が施設またはネットワークレベルでAIと機械学習を使用していると推定されています。マーケットリサーチフューチャーの報告書によると、2024年には北米がクラウドベースの製造インフラ市場で最大のシェアを占め、世界全体の約50%を占めていました。この急速な成長は生産性の観点からは有望に見える一方で、専門家は技術導入のペースが、これらのシステムを安全に稼働させるために必要なサイバーセキュリティ対策をはるかに上回っていると警告しています。

IBMのX-Force脅威インテリジェンスレポート2025は、製造業がサイバー犯罪者から4年連続で最も多く攻撃を受けている業界であることを示しています。製造業者と協力するRedpoint Cyberのサイバーセキュリティ戦略・運用担当副社長であるニック・ノーレン氏は、「現在の製造業における最大のサイバーセキュリティリスクは、これまで想定されていなかった環境に導入されるコネクティビティの量に起因しています。真の課題は、製造業が急速に近代化しているにもかかわらず、その基盤となるシステムやプロセスがサイバーセキュリティを考慮して構築されていなかったというミスマッチにあります。これこそが攻撃者が狙う隙を生み出しています」と述べています。

Thalesの暗号化担当副社長であるトッド・ムーア氏は、これまで製造業はシステムがオンラインではなかったため、サイバー攻撃の標的になりにくかったと指摘します。しかし、企業がAIやクラウドシステムといった高度な技術を、デジタル運用に対応していない古いインフラと統合するようになった現在、この問題が顕在化しているとムーア氏は言います。「セキュリティはこれらのシステムに後から付け加えられることが多く、セキュアバイデザインの原則に基づいて構築されていないため、ランサムウェアやマルウェアからフィッシング、さらにはサービス拒否攻撃まで、あらゆるものに対して製造業者を脆弱にしています」と彼は述べました。

広がる攻撃対象領域と機密データの保護

複数の専門家によると、AIとクラウドシステムの採用は、攻撃対象領域を大幅に拡大することでこれらのリスクを増幅させています。ノーレン氏は、製造業者の攻撃対象領域はほとんどの人が認識しているよりもはるかに広いと述べました。「現代の製造業は、サードパーティのインテグレーター、接続された機械、ベンダー提供のソフトウェア、そして事業部門間のデータ交換に大きく依存しています」と彼は言います。これらの各接点が、侵害の機会を新たに生み出します。「攻撃者が環境のほんの小さな部分に侵入したとしても、製造システムの相互接続性により、より機密性の高い領域へと迅速に移動できてしまうのです」とノーレン氏は語りました。「攻撃者は、デジタル環境の中で最も侵入しやすい部分を狙っており、製造データがAIや自動化のためにクラウドに移行するにつれて、これらのシステムはより大きく魅力的な標的になっています。」

IBMのX-Force脅威インテリジェンスのグローバルヘッドであるケビン・アルバノ氏によると、ここでの最大のリスクは、製造業者がAIやクラウドシステムにアップロードする機密データへの不正アクセスの可能性です。「これを軽減するために、製造業者はAIデータセットを高価値資産として扱う必要があります」と彼は述べました。「つまり、クラウド、オンプレミス、ハイブリッド環境全体で機密データを分類・保護し、保存中および転送中のすべての個人特定可能情報を暗号化し、強力な鍵管理を実装することです。」

サイバーセキュリティ強化への課題と対策

Black Kiteのチーフリサーチ&インテリジェンスオフィサーであるフェルハット・ディクビイク氏は、多くの製造業者がベンダーが舞台裏で使用しているコンポーネントを完全に理解していないため、AIの使用状況を厳密に監視することは困難であり、セキュリティ上の死角を生み出すと述べています。同社の「2025年製造業レポート」もIBMの調査結果を裏付け、製造業が4年連続で最大のサイバー攻撃標的であることを示しました。「製造業者は、どのベンダーが生産データにアクセスしているか、AIがどこで使われているか、そしてシステムが(運用技術)にどのように接続され得るかについて可視性を確保する必要があります」とディクビイク氏は言います。生産やサプライチェーンに関わる人々が、セキュリティチームに知られることなく、非公式にAIやクラウドツールを使用し、何がアップロードされ、どのモデルにベンダーが依存しているかが不明瞭になるため、事態はさらに複雑になります。

ノーレン氏は、「AIツールに何らかの設計やプロセス情報をアップロードする際には、そのデータがどこに行き、誰が見ることができ、どのように利用されるかについて確信を持つ必要があります」と強調します。「ベンダーがそのデータをどうしているか知っていますか?どこに保存されているか知っていますか?どれくらいの期間保持されていますか?彼ら自身のモデルのトレーニングに使用されていますか?多くの企業は、何がアップロードしても安全で、何がローカルに留まるべきかについて、まだ明確なガイドラインを持っていません。」

ムーア氏によると、だからこそ暗号化が不可欠です。「製造業組織は、データを徹底的に分類し、リスクを評価することから始めるべきです。これにより、ハイブリッドまたはクラウド環境内で脆弱性がどこにあるかを判断できます」と彼は述べました。データ分類として知られるこのプロセスには、情報の機密性に基づいてラベル付けを行い、チームがどのデータに最高レベルの保護が必要かを認識できるようにすることが含まれます。ディクビイク氏は、クラウドシステムがハッキングされる別の懸念点として、「機密性の高い設計ファイル、レシピ、生産パラメータ、サプライヤー情報を一元化するため、たった1つのクラウドアカウントが侵害されると、複数の工場に影響が波及する可能性があります」と述べています。そのため、彼は、「企業はIT、クラウド、運用システム間で適切なセグメンテーション(区分け)を行う必要があり、デジタルツールでの侵害が生産に連鎖しないようにすべきです」と付け加えました。

セキュリティシステムをセットアップし、維持するために必要な多額の初期費用は、多くの製造業者がそのような対策を実装することを躊躇させています。しかし、ノーレン氏によると、「支出が多いからといって、セキュリティが高いとは限りません」。ノーレン氏は、攻撃が発生した場合の推定財務損失を製造業者に計算させ、これにより予防のため、または攻撃後の対応のためにどれくらいの費用を投じる必要があるかについて、情報に基づいた意思決定を支援しています。このプロセスの一環として、製造業者は、技術の進歩に合わせて進化しなければならないサイバーセキュリティプログラムへの投資コストと、デジタル化の増加によって悪化する攻撃のリスクを比較検討する必要があります。ディクビイク氏は、「サイバーセキュリティのためにイノベーションを遅らせることに賛成したことはありませんが、未来のデジタル工場がその複雑さに見合ったセキュリティモデルの上に構築されるようにできると常に信じています」と結んでいます。

元記事: https://www.cybersecuritydive.com/news/manufacturing-cyber-risk-ai-cloud/808730/

投稿をさらに読み込む