目 次
複数の事業者が密接に関わりあって商品を生産する現代において、サプライチェーンリスクは各企業が向き合わなければならない重要な課題となっています。自動車業界においてもサイバー攻撃によって被害を受けた企業は数多くあります。今回は、自動車業界のサプライチェーンリスクについて詳しく解説するとともに、チェックシートの提出を含めたガイドライン対応を支援するエムオーテックスのソリューションをご紹介します。
自動車業界におけるインシデント事例
国内の自動車関連企業においてもサイバー攻撃によってデータ流出や活動制限といった被害に遭った事例が多く報告されています。ここでは、代表的な3つの事例をご紹介します。
ランサムウェアにより世界各地の工場が停止する被害に遭った国内大手自動車メーカー
大規模サイバー攻撃を継続的に受け、3度目のサイバー攻撃で世界各地の工場が停止。工場の生産や出荷が
一時止まった。後に原因を究明したところ、外部からのランサムウェア(不正プログラムの一種で、強制的にアクセス制限を行い解除のために身代金を要求する手口)を用いたサイバー攻撃に由来する障害だったことが判明。
ランサムウェアにより全国すべての工場の稼働を停止する事態へ陥った部品メーカー
ランサムウェア被害により国内すべての工場を稼働停止。受発注に影響を及ぼし、結果として納入先である大手自動車メーカーの稼働にも影響を与えた。前述の国内大手自動車メーカーと同様にランサムウェアによるシステム障害であり、実行グループから「身代金の支払いを拒否すれば機密情報を公開する」と脅迫を受けるなどの被害があったと発表されている。
不正アクセスにより社員などの10万件余りの個人情報が流出した国内自動車メーカー
アプリケーションサーバーの脆弱性が悪用され、システムのアカウント情報などを管理するシステムへ不正アクセスされた。流出した可能性がある情報は、氏名や電話番号、メールアドレスに加え、会社のシステムのユーザーIDやパスワードなどとされる。
自動車業界を取り巻くセキュリティ脅威
上記で紹介した通り、サイバー攻撃はセキュリティ対策が充実している大手企業などを直接的に攻撃の対象とするのではなく、セキュリティ対策が不十分な中小企業など「サプライチェーン」を対象に攻撃を行う手口が多くあります。これによって、間接的に本来の標的である大手企業の機密情報を盗み取ったり、サプライチェーンのセキュリティの脆弱性を抜け道として大手企業のネットワークに入り込み、データ破壊を行ったりすることが可能になります。つまり、大手自動車メーカーだけでなく、自動車に関わる部品・輸送・広告など業界全ての企業がターゲットとなる可能性があるということです。
また、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2024」によると、「サプライチェーンの弱点を悪用した攻撃」は組織の脅威として第2位にランクイン、6年連続6回目のランクインしています。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
自動車産業サイバーセキュリティガイドラインとは
このような背景から、日本自動車工業会(自工会、JAMA)および日本自動車部品工業会(部工会、JAPIA)では、産業全体でのセキュリティ強化を狙いとして「自工会/部工会・サイバーセキュリティガイドライン(以下ガイドライン)」を策定しました。
サイバーセキュリティガイドラインを策定することによって、サイバーサプライチェーンリスクに対する自動車業界全体のセキュリティ対策についてレベルアップをはかり、対策レベルを効果的に点検できるようにすることが主な目的です。
ガイドラインの項目は全153項目にわたって策定されており、情報セキュリティ方針やルール、体制、従業員への教育、関連会社・取引先のセキュリティ対策、情報資産管理、ネットワーク、クラウドサービス、マルウェア・不正アクセス対策などその内容は多岐にわたります。
また、本ガイドラインには、付録として153項目の対応状況を入力すると自社のセキュリティ対策の実施状況が可視化できるチェックシートが用意されています。153の対応項目にはそれぞれにレベルが1~3まで設定されており、レベル1はすべての会社で最低限実施すべき項目、レベル2は標準的に実施すべき内容、レベル3については最終的な到達点として目指すべき内容とされています。
| レベル | 定義 | 達成を目指すべき会社 | 対応項目数 |
|---|---|---|---|
| Lv1 | 最低限、実装すべき項目 | 業界に関連するすべての会社 | 50項目 |
| Lv2 | 標準的に目指すべき項目 |
・サプライチェーンにおいて社外の機密情報を取り扱う会社 ・重要な自社技術/情報を有する会社 ・不慮の供給停止等により業界のサプライチェーンに多大な影響を及ぼし得る会社 |
74項目 |
| Lv3 | 到達点として目指すべき項目 | 業界を代表し牽引すべき立場の会社 | 29項目 |
まずはこの中で自社がどのレベルを目指すかを定め、チェックシートで該当の項目について、実施状況を「対応完了(2点)」「対応中(1点)」「未実施(0点)」で入力します。するとレーダーチャートで、24のセキュリティ対策のカテゴリ(ラベル)の中でどこができていて、どこに課題があるのかが可視化できる仕組みになっています。
このチェックシートは、自社のセキュリティ対策状況を把握する自主点検のために用意されていますが、産業全体でのセキュリティ対策強化を推し進めるため、自工会は2023年9月に自動車業関係者に対して説明会を開催しました。そこでは、2022年の回答結果について、会社規模が小さくなるにつれてガイドラインの達成率が下がっていると示されています。そのため、特に中小企業のセキュリティの底上げが課題であり、業界全体のレベルアップのためにもより多くの企業へチェックシートの回答を求めています。
自工会は自動車産業サプライチェーンに属する全ての企業に対して、毎年12月に自社の対応状況をすべて入力したチェックシートを提出するように求めています。
このように、自動車メーカーやサプライチェーンを構成する各社が自動車産業固有のサイバーセキュリティリスクを考慮した対策を行うことで、自動車産業全体のサイバーセキュリティ対策のレベルアップが期待できます。
LANSCOPE で対応する自動車産業サイバーセキュリティガイドライン
ここからは、自動車産業サイバーセキュリティガイドラインに示されているルールを具体的にどのように守っていけばよいかご紹介します。
本記事ではLANSCOPE エンドポイントマネージャー クラウド版の対応機能を例にご紹介します。その他の製品に関するガイドライン対応項目についてはホワイトペーパーにまとめています。
LANSCOPE エンドポイントマネージャー クラウド版で対応できる項目
| ラベル | 要求事項 | No. | レベル | 達成条件 |
|---|---|---|---|---|
| 2.機密情報を扱うルール | 機密情報のセキュリティに関する社内ルールを規定していること | 4 | Lv1 | 自社の守秘義務のルールをし、守らせている |
| 10.情報資産の管理(情報) | 情報資産の機密区分を設定・把握し、その機密区分に応じて情報を管理していること | 58 | Lv1 | 情報資産(情報)は機密区分に応じた管理ルールに沿って管理している |
LANSCOPE エンドポイントマネージャー クラウド版ではPC の操作履歴を収集し、違反操作があった場合はユーザーにも警告表示。定期的なログチェック、ルールの順守状況・情報漏洩リスクを点検、ルールの見直しや教育に役立ちます。
また、LANSCOPE エンドポイントマネージャークラウド版では、どの部署の・誰が・いつ・何をしたのか、というログをリアルタイムに取得できます。取得した操作ログは2年間(ログ保存オプションの導入で最大5年)保存され、検索による抽出とCSVファイルによる出力が可能です。
| ラベル | 要求事項 | No. | レベル | 達成条件 |
|---|---|---|---|---|
| 2.機密情報を扱うルール | 機密情報のセキュリティに関する社内ルールを規定していること | 8 | Lv1 | 業務で利用する情報機器の利用ルールを規定し、周知している(個人所有機器(BYOD)含む) |
| 16.物理セキュリティ | 持込み・持出し物の制限を行っていること | 92 | Lv2 | 社外への持出しルールを明確にし、運用している |
| 重要情報を格納・利用するシステムにおいて、人為的設定ミスによる被害を最小化する対策を実施していること | 102 | Lv2 | 管理部署がスマートデバイスに対して、機密管理上必要な設定を行っている |
LANSCOPE エンドポイントマネージャークラウド版では、スマートデバイスの紛失時に位置情報から所在を確認、遠隔でリモートロックやワイプを実行し情報漏えいを防止します。
ガイドライン対応サポートアカデミーで支援できる事項
また、MOTEXでは、「ガイドライン対応サポートアカデミー」を開設。セキュリティコンサルタントがガイドラインやチェックシートの内容を解説する講座を開催。入力済みチェックシートの添削サービスや個別相談会により、ガイドラインに沿った効果的なセキュリティ対策を実現するための第一歩となる“ガイドラインに対する正しい理解”を重点的にサポートします。
さらに、解説講座の教材として、ガイドラインへの対応に必須となる各種規程類のひな形もご提供。企業・組織の“ガバナンス強化”につながる項目への対応も重点的にサポートします。
チェックシート提出にお困りの方は是非ご活用ください。
他にも、自動車産業サイバーセキュリティガイドラインに示してある対策に対応することが可能な製品・サービスをご提供しています。詳しくはホワイトペーパーにまとめていますので、是非ご一読ください。
<出典>
※1:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024」より参考
※2:JAMA,JAPIA 自動車産業サイバーセキュリティガイドラインより参考
※3:一般社団法人日本自動車部品工業会 自動車産業サイバーセキュリティガイドライン」自己評価実施のお願いよりMOTEXで作成
