製造業で増加する情報漏洩・紛失事故
株式会社東京商工リサーチの調査によると、2023年に情報漏洩・紛失事故を公表した147社のうち、製造業は最多の44社で約3割を占めており、最も被害にあっている業種であることが判明しています。
出典:株式会社東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」調査」
https://www.tsr-net.co.jp/data/detail/1198311_1527.html
不正持ち出し・盗難による漏洩が急増
また、2023年の情報漏洩・紛失事故は175件であり、原因別の調査では、「ウイルス感染・不正アクセス」の93件が半数以上を占めています。「不正持ち出し・盗難」は24件と多くはないものの、前年度の結果と比較すると約5倍増加しています。原因としては、退職した社員による意図的な不正持ち出しや、データ保存したUSBメモリの紛失・盗難などが挙げられます。また、USBメモリの大容量化により、被害にあった際の影響も大きくなっています。
出典:株式会社東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」調査」
https://www.tsr-net.co.jp/data/detail/1198311_1527.html
実例として、2023年には、大手通信グループ企業の元派遣社員が、クライアントの顧客情報を含むUSBメモリを不正に持ち出し、約928万人分の顧客情報が漏洩しています。製造業でも、不正に入手した技術情報をUSBメモリにコピーし、他企業に提供した事例があります。被害にあった企業では、再発防止策としてUSBメモリの使用禁止等のセキュリティ対策がとられています。
このように、実際にUSBメモリの不正持ち出しから大きな被害につながっているため、USBメモリの利用について見直す必要があります
2024年4月、全国の製造業関係者526社を対象にALSIでアンケートを実施した結果、工場内のネットワーク間におけるデータ授受にUSBメモリを利用している工場は88社あり、製造業ではUSBメモリが根強く利用されていることが分かります。
工場内のネットワーク間におけるデータ授受方法 ※複数回答可
2022年11月に経済産業省から発表された「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」では、USBメモリの利用について、以下のように外部デバイスへの対策が必要であることが示されています。
※ガイドラインの内容をもとにALSIで作成
USBメモリ利用上の3つのセキュリティリスク
USBメモリは、データを簡単に保存して持ち運べるため多くの会社で活用されていますが、以下のようなリスクもあります。
①マルウェアへの感染リスク
個人情報や金銭の搾取を目的としたマルウェアがUSBメモリに仕込まれることがあります。
マルウェアが仕込まれているUSBメモリを気づかずに利用することで、デバイスやシステム内に感染する恐れがあります。
②紛失、盗難のリスク
USBメモリは小型で紛失しやすいデバイスです。機密データが保存してあると情報漏洩につながる恐れがあり、悪意のある第三者から盗まれるリスクをゼロにすることは難しいです。
③データの持ち出しによる情報漏洩のリスク
機密データを保存したUSBメモリを従業員や退職者が不正に外部に持ち出す事件が後を絶ちません。このような事態が生じると企業の社会的信用が失われ、大きな損害に繋がる恐れがあります。
製造業におけるセキュリティ対策の現状
ここからは、先述した製造業526社を対象にALSIで独自に行ったアンケート結果から、製造業におけるセキュリティ対策の現状について見ていきます。
■工場で導入されているセキュリティ製品
ウイルス対策、メールセキュリティ、バックアップは半数以上の工場で導入されています。
しかし、データ授受に有効なセキュリティ対策であるファイル転送、ファイル無害化の導入は進んでいません。
工場で導入しているセキュリティ製品 ※複数回答可
■社外とのデータやり取りにおけるセキュリティ対策
社外とのデータのやり取りでは、約8割の工場でデータ持込時にウイルスチェックを実施しています。しかし、一般的なウイルスチェックでは、データや文字列などの対象から特定のパターンを検出するパターンマッチングで検知するため、検知率が低く新種マルウェア等の未知の脅威に対応することができません。
一方、ファイル無害化はすべてのファイルに悪意があるとみなし、マクロやリンクの削除を行うため、未知の脅威にも対応することができます。そのため、マルウェア感染などの対策に有効といわれていますが、実施している工場は約3割となっています。
社外とのデータやり取りにおけるセキュリティ対策 ※複数回答可
■工場で利用している環境
全体の約3割でサポートが終了した古いバージョンのOSであるレガシーOSが利用されていることが分かりました。
レガシーOSの場合、一般的なセキュリティ製品がメモリ容量不足で充分に機能しないことや、動作環境がサポート外であることからセキュリティ製品がインストールできないなどの問題があります。工場システムの関係で安易なOS更新ができないことが多く、十分な対策を実施できずセキュリティリスクが高くなるケースがあります。
工場で利用しているOS ※複数回答可
USBメモリの利用はセキュリティリスクがあるため、会社での利用を制限する仕組みを検討しつつ、USBメモリに頼らない安全なデータ転送方法を構築していく必要があります。外部とのやり取りを行う際には、無害化を実施してマルウェア感染等のリスクを軽減することも効果的です。一方で、レガシーOSを利用している工場も多いため、環境に対応したセキュリティ製品を導入することが不可欠です。
USBメモリを使わない安全なデータの授受
ALSIでは、USBメモリを利用せず、安全なデータの受け渡しが可能なファイル転送システム「InterSafe FileTransporter」を提供しています。
■製品概要
「InterSafe FileTransporter」は、分離されたネットワーク間での安全なファイル受け渡しを実現するソリューションです。製造業では、工場系ネットワークと情報系ネットワーク間でファイルのやり取りが発生しますが、InterSafe FileTransporterを利用することで、USBメモリを利用することなく安全にファイルのやり取りを行うことできます。また、クライアントレスで運用が可能で、レガシーOSが搭載された端末でも利用することができ、製造業においても導入しやすい製品となっています。
ファイルの転送方法としては、クローズド環境のブラウザ/エクスプローラーからファイルをアップロードし、インターネット接続可能な環境のブラウザ/エクスプローラーから直接転送したファイルをダウンロードする仕組みとなっています。
また、無害化オプションを導入すればデータ転送時に無害化を実施することも可能です。複数のアンチウイルスソフトによるマルチスキャンや150種類以上のファイル形式に対応したファイル無害化を利用できるため、外部からファイルを持ち込む際により強固なセキュリティを実現できます。
さらに、証跡管理に活用できるほか、他機能と連携することで転送時の上長承認も可能です。
■導入事例
実際に製造現場で利用されているInterSafeFileTransporterの導入事例を紹介します。
導入前の構成では、工場系ネットワークと情報系ネットワークを分離しており、データ移動にはUSBメモリを利用していました。しかし、セキュリティリスクの観点からUSBメモリ廃止を進めることになり、レガシーOS環境下でも問題なくデータ転送ができる仕組みを検討していました。
InterSafe FileTransporter導入後は、USBメモリを廃止し、システムによる安全なファイル転送を実現しました。ファイル転送時は指定されたフォルダに直接ファイルを移動するだけで転送が完了し、ファイルを取り出す際もフォルダから直接ダウンロードできます。転送時のログはサーバーで一元管理でき、不正持ち出し等の内部不正も防ぐことができます。
また、個人情報検出や無害化、暗号化と連携することでより安全なファイル授受が可能となります。セキュリティ製品の導入が難しいレガシーOSでも導入することができるため、新たなOSに移行することなくセキュリティ対策を実施することが可能です。
まとめ
本ブログでは、製造業におけるセキュリティの課題と効果的なセキュリティ対策についてご紹介しました。工場では、データの受け渡しを行う際のセキュリティ対策が十分ではないケースがあります。また、レガシーOSを利用している工場も多く、セキュリティ対策の導入が難しい企業や組織も多いです。
ALSIの「InterSafe FileTransporter」を導入すれば、レガシーOS端末でもUSBメモリを利用せずに安全なデータの受け渡しが可能になります。製品についてより詳細な情報を知りたい方、USBメモリを使わないデータのやり取りを検討している方は、ぜひALSIにご相談ください。
■今回ご紹介したソリューション
ファイル転送「InterSafe FileTransporter」
■ホワイトペーパーはこちら
製造業セキュリティ対策状況 調査レポート