Industrial machine in motion, reflecting the zero-trust approach in manufacturing where no access is assumed to be safe by default | DXC Technology Insights

業界スポットライト | 2025年7月15日

誰を信頼すべきか?製造業における答えは「誰も信頼しない」

現代の工場はもはや、孤立した機械の集合体ではありません。製造業は、ITとOT(Operational Technology:運用技術)システムがデータを共有し、AIが意思決定を自動化し、デジタルツインがオペレーション全体をシミュレーションし、サードパーティ製デバイスが生産ラインに直接接続される――そんなハイパーコネクテッドなエコシステムへと進化しています。

これらのシステムは効率性を追求するために設計されていますが、その一方で、運用セキュリティに対する新たなリスクももたらします。

信頼が誤って置かれたり、確認されなかったりした場合、その影響は従業員の安全、製品の品質、さらには社会全体の安全を脅かす可能性があります。そして、ほんの些細な信頼の欠如であっても、複雑な製造環境に波紋のように広がり、深刻な結果をもたらすのです。

 

境界防御の時代の終わり

従来のセキュリティモデルは、ネットワークを堀で囲まれた城のように捉え、境界内にいる人やモノは「安全である」と仮定していました。しかし、製造現場の環境が進化した今、この仮定はもはやリスク要因です。

そのため、多くの製造業者が「ゼロトラスト」モデルを採用しつつあります。ゼロトラストとは、すべてのユーザー、デバイス、インタラクションを継続的に検証するセキュリティの考え方です。

現代の工場では、IoTセンサーが圧力や温度を常時監視し、AIが自動で停止を判断し、クラウドプラットフォームがグローバルなワークフローを管理しています。つまり、あらゆる接続が攻撃の入り口になりうるのです。そして、攻撃者はそれを知っています。

このアプローチは理論にとどまりません。DXCでは、自社のエンタープライズ環境だけでなく、グローバルの顧客に対してもゼロトラストを実践し、セキュリティ体制とビジネスのレジリエンスを高めています。

ランサムウェアの標的としての製造業

CheckPoint Researchによれば、現在製造業はランサムウェアの最も標的とされる業界であり、報告された攻撃の最大29%を占めています。

しかもこれは、単なるデータ損失の問題にとどまりません。OTシステムが侵害された場合、その影響は物理的かつ即時的です。たとえば、生産停止、サプライチェーンの分断、場合によっては国家レベルの混乱さえ引き起こしかねません。

製造システムは、食品や医薬品からエネルギー、防衛に至るまであらゆる分野を支えています。そのため、信頼を前提にすることは極めて危険です。人間であれ機械であれ、常に侵害される可能性があるという前提で対応する必要があります。

だからこそ、ゼロトラストが必要なのです。

製造業の重要性と脆弱性

2025年4月、スペインとポルトガル全土で発生した大規模な停電により、鉄道、病院、工場が完全に停止しました。この停電がサイバー攻撃によるものであるという証拠はありませんが、この事象は単一障害点が引き起こす現実の混乱を象徴しています。

ゼロトラストは単なるサイバーセキュリティ対策ではない

ゼロトラストの基本原則は非常にシンプルです。「信頼せず、常に検証する」。

人間、機械、アプリケーション――いずれのアクセス要求も、「誰が」「何を」「いつ」「どこで」「なぜ」「どのように」といった動的な条件に基づいてリアルタイムで評価されます。

これは単なる身元確認ではありません。行動、デバイスの状態、コンテキストを理解したうえでアクセスを許可することが重要なのです。

製造業では、これは人間にとどまらず機械にも「ID」が必要です。すべてのシステムが最小権限アクセスを強制し、ユーザーもデバイスも、許可されたことだけを実行できるようにしなければなりません。そして、すべてのアクションを自動的に記録し、「誰が・いつ・なぜ・何をしたか」をトラッキングできるようにする必要があります。

例えば、PLC(プログラマブルロジックコントローラー)は、特定の機器や自動化プロセスを制御する専用コンピューターですが、信頼されたアプリケーションや認可されたエンジニアからの命令しか受け付けるべきではありません。

製造業に必要なのは「新しいセキュリティ思考」

クラウド、ロボティクス、AI、IoTといったデジタル変革が急速に進む一方で、多くの製造業者はいまだに「フラットネットワーク」や「レガシーPLC」、「最小限のアクセス制御」といった時代遅れのセキュリティモデルに依存しています。

こうしたシステムは「信頼性」には優れていますが、「レジリエンス(回復力)」は備えていません。さらにリモートアクセスやサードパーティ連携が増えたことで、攻撃対象面(アタックサーフェス)は飛躍的に拡大しています。

ゼロトラストは、そうした製造業に対する現実的な設計図を提供します。

  • 人間にも機械にも、すべての階層で認証を行う
  • あらゆる操作を明示的に認可し、最小権限を強制する
  • ネットワークをマイクロセグメント化し、独立したシステムとして運用
  • オフライン時のレジリエンスを確保し、データを安全に同期
  • すべてを監査ログとして残し、コンプライアンスと迅速なインシデント対応を支援する

このような堅牢なアプローチを導入していない場合、製造業をはじめとするあらゆる業界の組織にとって、誰が重要な資産やデータにアクセスしているのか、そしてそれをどのように利用しているのかを正確に把握することが難しくなります。

その結果として、企業は高額なデータ漏洩やその他のセキュリティインシデントに、不要にさらされるリスクを抱えることになるのです。

ゼロトラストは製造業だけの話ではない

物理システムとデジタル制御が融合することでリスクが高まっているのは、製造業に限った話ではありません。金融、医療、公益など、物理インフラがデジタルに制御されるあらゆる業界が同様の課題に直面しています。

病院の人工呼吸器、電力網、決済端末――いずれも、サイバー攻撃による影響は重大になり得ます。

そのため、ゼロトラストの導入は工場の枠を超えた企業全体の課題となっています。DXCでは、業界を問わず、顧客の企業全体にゼロトラストを根付かせる支援を行っています。

DXCは、ゼロトラストアーキテクチャやアイデンティティ・アクセス管理(IAM)に関して豊富な経験を有し、セキュリティ、IT、オペレーション、そしてカルチャーに至るまで、企業のあらゆるレイヤーにゼロトラストを組み込むお手伝いをしています。

Abstract image symbolizing Zero Trust’s universal principle — verify everything — to protect critical systems across industries | DXC Technology Insights

 

まとめ

ゼロトラストの基本原則――すべてを、常に、検証する――は、業界を問いません。スマートファクトリー、病院、金融取引など、あらゆる領域に適用されます。

そして朗報なのは、DXCの専門家がさまざまな業界の組織に対して、ゼロトラストの導入を支援し、重要なシステムを保護し、可視性を高め、運用の継続性を確保するためのガイド役を担っていることです。

DXCのセキュリティサービスは、ゼロトラストアーキテクチャやIAMに関する豊富なノウハウを含み、4億5,000万以上のデジタルID管理、世界トップクラスの検知・対応能力を提供しています。

ほかの記事を読む

アイテムを更新しています。