自動車サプライチェーンが直面する「喫緊の課題」 業界全体で「セキュリティ強化」が不可欠な訳
「1社の業務停止」がサプライチェーン全体に影響
日本経済の屋台骨を支える自動車産業 。OEMと呼ばれる自動車(完成車)メーカー以下、大手から中堅・中小の部品・素材メーカーまで、数千社ともいわれるサプライヤーが複雑なサプライチェーンを形成し、世界中を走る自動車を製造している。
その自動車のサプライチェーンがここ数年、危機に直面している。半導体不足による減産や生産停止が記憶に新しいが、もう1つ重要な問題がサイバーセキュリティだ。
とくに、セキュリティ対策の手薄な関係会社や取引先へのサイバー攻撃を通じて、標的とする企業に侵入する「サプライチェーン攻撃」への警戒感が高まっている。
「サプライチェーンの中のたった1社が業務停止に追い込まれるだけで、自動車の製造全体が止まる事態に陥る可能性があります。実際に自動車関連企業やその工場がサイバー攻撃被害に遭った事例も出てきており、サプライチェーン攻撃の脅威が広く認識されるようになってきています」(扇氏)
セキュリティマーケティング推進部 シニアエバンジェリスト
Security CoE センタ長 扇 健一氏
自動車業界のセキュリティ対策は「危うい状況」
高度化、巧妙化するサイバー攻撃に対処するため、業界団体も動いている。日本自動車工業会(以下、自工会)と日本自動車部品工業会(以下、部工会)は、「自工会/部工会・サイバーセキュリティガイドライン」を作成。社内のOA環境(IT環境)について、自動車産業に関係する企業が実施・目指すべきセキュリティ対策のレベルを3つに分類しており、各社は対応するチェックシート(全153項目)を利用して、対策状況を自己評価できる。
取り扱う情報の内容から、完成車メーカーにはレベル3、各自動車部品メーカーはおおむねレベル2以上の達成が望ましい。しかし、「レベル1にとどまっているサプライヤーがまだまだ多い」というのが、扇氏の見方だ。
「当社が自動車サプライチェーンに属する数十社の企業にヒアリングしたところ、従業員数が数千人規模の大企業では高いレベルでの対策が進んでいるのに対し、従業員数が数百人以下の企業では、セキュリティに対する意識が低いと感じました。また、コストの観点からセキュリティに対する大きな投資も難しく、ガイドラインに対応しようとしても、自己解釈したうえで『とりあえず合格すると思われるライン』を目指しており、結果的にレベル1相当の対策にとどまっている企業が見られます。
例えば、EDR(Endpoint Detection and Response)と呼ばれる製品がないと、マルウェアに感染しても調査ができませんが、それが導入されていなかったり、そもそもセキュリティ運用プロセスが定まっていなかったりする企業も少なくありません。そのような企業はおそらくランサムウェア攻撃に遭うと太刀打ちできず、かなり危うい状況といえます」
ガイドラインでは、レベル2の達成を目指すべき企業として、「サプライチェーンにおいて社外の機密情報を取り扱う会社」や「自動車業界として重要な自社技術/情報を有する会社」と規定されている。それに当てはめると、部品の設計情報などの重要情報を保有し、完成車メーカーと取引している多くのサプライヤーは、レベル2以上のセキュリティが必要になる。
一方、従業員数が数千人の企業では、国内のセキュリティ対策は進んでいるものの、「グローバル展開している支社への対応が遅れているケースが見られるほか、問題が起きたときの事業継続計画(BCP)対応や、工場のセキュリティ対策に課題があるケースが多い」(扇氏)という。企業規模を問わず、セキュリティ対策が喫緊の課題となっている。
「海外は規制が厳しく、実際に欧州の取引先から『セキュリティ対策を強化しないと取引を中止する』と言われ当社に相談に来られるケースもあります。上場企業では投資家からもセキュリティ対策を見られており、評価されなければ企業価値が下がるということにもつながりかねません。
自動車のコネクテッド化が進み、自動車自体のセキュリティの強化を求める動きも加速しています。だからこそ、IT環境のセキュリティを急がないとまずい状況まできているのです。『セキュリティはコスト』と考えるのではなく、デジタル戦略の1つとして、取り組むことが重要です」(扇氏)
逃げることはできないからこそ、前向きに
日立ソリューションズでは、自動車関係の企業に対し、100を超える豊富なセキュリティ対策のメニューをそろえている。オフィスだけでなく工場現場のセキュリティの現状把握から、規模や費用感に応じたセキュリティ対策の導入、運用支援、セキュリティポリシーの策定まで、幅広いソリューションを用意し、さまざまなニーズに柔軟に対応できる態勢を整えている。
例えばコストの問題でEDRの導入が難しい企業には、現実的な対応策として、AI機能を取り入れたウイルス対策ソフトウェアを導入し、単純なウイルス対策よりもセキュリティを高めたうえで、「サイバー保険」に加入することで事後のリスクを保険に転嫁するという方法も提案。EDR導入よりも費用が低く抑えられるため引き合いは増えているという。ただし、対策として万全とはいえないため、リスクを正しく理解する必要がある。
また、最近はセキュリティの現状分析やBCP策定などコンサルティングの依頼も増えているという。「机上のコンサルティングではない、対策の導入も含めた実現性の高い対策案にまで落とし込むことができるのが、当社の特長です」と扇氏は力を込める。
商談機会を持った企業には、自工会/部工会のチェックシートの各項目に対応する日立ソリューションズのソリューションを書き込んだシートも配布している。それをもとに、自社に必要なセキュリティ対策の内容をわかりやすく把握、検討することができる。もちろん、対策ができていない項目について同社に相談することも可能だ。
今やビジネスにデジタルを取り入れることが不可欠であるのと同時に、急増するサイバー攻撃への対策も欠かせなくなっている。たった1社のサイバー攻撃被害がサプライチェーン全体に影響を及ぼす可能性もある。自動車業界を挙げてセキュリティの向上に動いている今、一社一社が本腰を入れて対策を強化することが必要だ。
「『セキュリティはコスト』と考える経営者はまだ多いというのが私の実感です。しかし、企業のIT環境だけでなく、工場や販売店、自動車本体のセキュリティ基準もより厳しくなっていくとみられる中で、もう逃げることはできません。戦略的にセキュリティへの投資を考えていただきたい。NIST(米国立標準技術研究所)などの世界標準をベンチマークにしたガイドラインに沿った対応をすることで、新たなビジネスチャンスにも対応できます。ぜひ多くの企業に、前向きにセキュリティに取り組んでいただきたいと考えています」(扇氏)
