製造業のサイバーセキュリティ｜工場停止を招くランサムウェア対策とOT/ITネットワーク分離の実務

国内外を問わず、製造業のランサムウェア被害が止まらない状況が続いています。大手自動車メーカーのサプライチェーン攻撃、地方の中堅製造業の工場停止、設計データの大量流出など、被害の規模・業種・件数いずれも拡大傾向にあります。

製造業が標的になりやすい理由は、「1日の工場停止が数千万〜数億円の損失に直結する」という、攻撃者から見て極めて『支払いやすい』業種特性にあります。

本記事では、製造業のセキュリティ被害の実態と、現場で実装すべきOT/ITネットワーク分離・リモート保守管理・バックアップ・インシデント対応の具体的な対策をわかりやすく解説します。

なぜ製造業がランサムウェアの主要標的になっているのか

警察庁・IPAの統計でも、ランサムウェア被害件数の業種別ランキングで製造業は常に上位を占めています。その理由は単なる偶然ではなく、製造業の構造的特性に根差しています。

製造業が狙われる4つの構造的理由

近年の典型的な被害パターン

国内製造業で実際に発生している被害は、以下のようなパターンが大半を占めます。

• パターンA：VPN機器の脆弱性悪用 → 社内侵入 → 工場ネットワークに横展開 → 生産系サーバ暗号化
• パターンB：協力会社経由のサプライチェーン攻撃 → 設計データ・取引先情報の窃取 → リークサイトに公開
• パターンC：リモート保守用VPN・RDPの認証情報悪用 → 工場制御PCへ直接侵入 → 操業停止
• パターンD：協力会社向けのフィッシング → メール・ファイル経由でマルウェア感染 → 自社・取引先双方に被害

特にパターンAとパターンCは「リモート保守やリモートアクセスの管理不備」が起点となっており、OT/IT境界の管理が甘い企業ほど狙われやすいという傾向が明確に出ています。

OT（制御系）とIT（情報系）の違いを理解する

製造業のセキュリティを考える上で、まず理解すべきはOTとITという2つの技術領域の違いです。

OTとITの本質的な違い

両者は性質も担当部門も大きく異なるため、同じネットワークセグメントに混在させると、IT側で発生した感染がOT側に波及して工場停止を引き起こします。これを防ぐ基本がOT/ITネットワーク分離です。

OT/ITネットワーク分離の基本｜パーデュモデル

OT/IT分離の世界標準的な考え方が「Purdue Reference Model（パーデュモデル）」です。工場ネットワークを階層化し、各層の間に明確な境界を設けて通信を制御する考え方です。

パーデュモデルの階層構造

重要なのは「IT領域（L4・L5）とOT領域（L0〜L3）の間に必ずDMZを設け、両者の直接通信を禁止する」という基本原則です。

中小製造業向けの現実的な分離

パーデュモデルは大企業向けの理想形ですが、中小製造業でも「VLANによるネットワーク論理分離＋境界FW」で同じ考え方を実装できます。

最低限の構成は以下です。

• 事務系VLAN：オフィスPC・ファイルサーバ
• 工場系VLAN：制御PC・SCADA・HMI
• 制御機器VLAN：PLC・DCS（必要最小限のみ通信許可）
• 境界FW：3つのVLAN間の通信を制御し、デフォルト拒否
• リモート保守用VLAN：ベンダーアクセス時のみ有効化

完璧な物理分離が難しい場合でも、論理分離＋境界制御だけでランサム横展開のリスクを大幅に低減できます。

製造業がやるべき7つの優先対策

OT/IT分離を含め、製造業が優先的に実装すべき対策を7点に整理します。

① 資産棚卸しとネットワーク図の整備

「何が、どこに、どう繋がっているか」が分からなければ守れません。

• OT機器・産業用PCの一覧（OS・パッチ状況・メーカー・サポート期限）
• IT/OT境界のネットワーク図（VLAN・FWルール・通信経路）
• 外部接続点（リモート保守VPN・取引先接続・クラウドゲートウェイ）

② リモート保守経路の厳格管理

被害の大半が「リモート保守VPN／RDPの認証情報悪用」起点です。

• 常時接続VPNを廃止し、必要時のみ有効化
• 多要素認証（MFA）の必須化
• ベンダーごとの専用アカウント・専用VLAN
• セッションログの取得と定期レビュー
• 可能であればZTNA（ゼロトラストネットワークアクセス）への移行

③ ITエンドポイントへのEDR／MDR導入

工場オフィスのPC・サーバは、IT領域として一般的なEDR／MDRが導入可能です。

• EDRで横展開・ランサム挙動を即時検知・隔離
• 専任セキュリティ担当者が不在ならMDRサービスで運用代行
• OT領域への波及前に「IT領域で食い止める」体制を構築

④ パッチ管理の現実解

OT機器は稼働中のパッチが困難ですが、IT領域は徹底できます。

• IT機器：月次パッチ管理ポリシーの整備
• OT機器：定期メンテナンス時に計画的にパッチ／メーカー推奨に従う
• パッチ未適用機器の存在を「ネットワーク隔離」で補う

⑤ バックアップ｜OT/IT別の戦略

• IT：ファイルサーバ・業務システムを3-2-1ルール＋オフサイトクラウドへ
• OT：エンジニアリングデータ（PLCプログラム・HMI設定・SCADAコンフィグ）を独立した媒体に保管
• イミュータブル（改ざん不能）バックアップを導入し、ランサムからのバックアップ自体の保護
• 定期復旧テスト：年2回以上、実機での復元演習

⑥ サプライチェーンセキュリティ

• 取引先・委託先のセキュリティ要件を契約に明記
• 協力会社経由のメール・ファイル共有のセキュリティ確認
• 大手取引先からのセキュリティ評価（CSIRT対応・SECURITY ACTION・ISMS等）への準備

⑦ インシデント対応プレイブックの整備

• 「工場停止が発生した瞬間に誰が何をするか」を文書化
• OT/IT双方の責任分担、メーカー・販売代理店・警察・JPCERT/CCの連絡先
• 取引先への一次連絡テンプレートの事前作成
• 年1回以上の机上訓練（テーブルトップ演習）

参考になる主要ガイドライン

製造業向けには、参考にできる公的ガイドライン・標準規格が複数あります。

国内のガイドライン

• 経産省「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」：製造業を含むサプライチェーン全体の対策モデル
• IPA「制御システムのセキュリティリスク分析ガイド」：OT環境のリスク分析手法
• 経産省「サイバーセキュリティ経営ガイドライン」：経営層向けの指針
• SECURITY ACTION（IPA）：取引先要件としても活用される自己宣言制度

国際的な標準

• IEC 62443：産業オートメーション・制御システムのセキュリティ国際標準
• NIST SP 800-82：産業制御システムセキュリティガイド（米国）
• NIST CSF 2.0：汎用的なサイバーセキュリティフレームワーク

全部を一度に満たす必要はありませんが、「自社のレベルを客観的に測る物差し」として、いずれか1つは必ず参照することをおすすめします。

段階的な実装ロードマップ

中小製造業向けに、段階的な実装イメージを示します。

STEP 1｜今すぐ着手すべきこと（〜3ヶ月）

• VPN機器・公開機器の脆弱性パッチ徹底とMFA有効化
• リモート保守VPNの常時接続停止／必要時のみ有効化
• ITエンドポイントへのEDR導入
• OT機器の資産棚卸し（最低限の一覧化）
• バックアップの3-2-1ルール達成と復旧テスト

STEP 2｜半年以内に整備したい対策

• 境界FW・VLANによるOT/ITネットワーク分離
• EDR＋MDRサービスの組合せ運用
• ベンダー保守の専用VLAN化と申請ベース運用
• イミュータブルバックアップの導入
• インシデント対応プレイブックの作成と机上訓練

STEP 3｜中長期で目指したい体制

• パーデュモデル準拠の本格的なセグメント化
• OT特化型セキュリティ製品の導入（ホワイトリスト・挙動監視等）
• SOC／MSSP活用によるOTログの常時監視
• ZTNAによるリモート保守のゼロトラスト化
• サプライチェーン全体のセキュリティ要件適合（IEC 62443等）

まとめ：「工場が止まらない仕組み」を平時に作る

製造業のサイバーセキュリティは、もはや情報システム部門だけの課題ではなく、事業継続そのものを左右する経営課題です。

特に中小製造業は、「セキュリティ予算がない」「OT機器に手を入れられない」と諦めがちですが、VLAN分離・MFA・EDR・バックアップという基本対策を着実に積み上げるだけでも、ランサム横展開・工場停止のリスクは大幅に下がります。

「1日の停止損失」を計算してみれば、これらの投資は十分に費用対効果が高いことが見えてくるはずです。

c-compe.comでは、製造業のIT領域向けEDR・MDR・バックアップ・メールセキュリティを複数ベンダーで比較・お見積もりできます。工場セキュリティの第一歩から段階的に整備したい企業のご相談はお気軽にお問い合わせください。

お問合せはこちら➡