世界経済フォーラム (WEF) 製造業におけるサイバーレジリエンス文化の構築 (2024.04.29)
こんにちは、丸山満彦です。
製造業にとってサイバーに関連するリスクとして大きなものは、事業継続が重要となりますね。。。フィジカルな脅威に対する備えはできていても、DX等に進捗により、サイバーに関連する脅威への備えが十分にできていないかもしれません。
もちろん、攻撃をうけても防ぐのが重要なのですが、そうはいかないのは現実を見ればわかるわけですので、侵入されてしてまっても、いかに事業を止めないか、止まっても早期に回復させるかというレジリエンスが重要となってきますね...
そのためには、まずは、
・レジリエンスの優先順位をちゃんとつけて、意識を高めることが重要となりますね。。。そして、
・設計段階からレジリエンスが高まる設計にし、
・エコシステム全体を関与させていく
ことが重要といっていますね。。。
このWEFの報告書は、ケース(日本企業はないですが...)もたくさんあり、参考になるところはあると思います。
原則...
| FIGURE 7 Guiding principles to build a cyber resilience culture in manufacturing | 図 7 製造業におけるサイバーレジリエンス文化を構築するための指導原則 |
| Make cyber resilience a business imperative: | サイバーレジリエンスをビジネス上の必須要件とする: |
| Embed cyber resilience into the organizational DNA, from leadership to shop floor. | サイバーレジリエンスを、リーダーシップから製造現場に至るまで、組織の DNA に組み込む。 |
| – Lead from the top | ・トップが主導する |
| – Establish cybersecurity governance | ・サイバーセキュリティガバナンスを確立する。 |
| – Secure budget and resources | ・予算とリソースを確保する |
| – Create incentives | ・インセンティブを創出する |
| Drive cyber resilience by design: | 設計によってサイバーレジリエンスを推進する: |
| Integrate cybersecurity into every process and asset to foster a cyber-resilient environment. | サイバーセキュリティをあらゆるプロセスや資産に組み込んで、サイバーレジリエンス環境を醸成する。 |
| – Invest in education and training | ・教育とトレーニングに投資する |
| – Include cybersecurity in critical business processes | ・重要なビジネスプロセスにサイバーセキュリティを組み込む |
| – Continuously improve operational assets | ・運用資産を継続的に改善する。 |
| – Prepare to respond to and recover from any cyber incident | ・あらゆるサイバーインシデントへの対応と復旧に備える。 |
| Engage and manage the ecosystem: | エコシステムに関与し、管理する: |
| Engage with the ecosystem to build trusted partnerships, manage risks and raise security awareness | エコシステムと連携して、信頼できるパートナーシップを構築し、リスクをマネジメントし、セキュリティ意識を高める。 |
| – Identify key stakeholders | ・主要な利害関係者を識別する |
| – Establish cybersecurity baselines | ・サイバーセキュリティのベースラインを確立する |
| – Ensure consistent oversight | ・一貫した監視を確保する |
| – Keep learning | ・学習を継続する |
● World Economic Forum - Whitepaper
・2024.04.29 Building a Culture of Cyber Resilience in Manufacturing
| Building a Culture of Cyber Resilience in Manufacturing | 製造業におけるサイバーレジリエンス文化の構築 |
| This playbook outlines three guiding principles to support manufacturing and supply chain leaders in establishing a culture of cyber resilience throughout their organizations. Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also, however, exposed the sector to a wide range of cyberthreats, such that manufacturing has become one of the sectors most targeted by cyberattacks. | このプレイブックは、製造業とサプライチェーンのリーダーが組織全体でサイバーレジリエンスの文化を確立するのを支援するための3つの指針を概説している。過去 10 年間、製造事業者は急速なデジタル変革を経験し、成長、効率性、収益性を促進してきた。しかし、この傾向は、製造事業者を広範なサイバー脅威にさらすことにもなり、製造業はサイバー攻撃から最も狙われる部門の1つとなっている。 |
| This playbook outlines three guiding principles to support manufacturing and supply chain leaders in establishing a culture of cyber resilience throughout their organizations. Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also, however, exposed the sector to a wide range of cyberthreats, such that manufacturing has become one of the sectors most targeted by cyberattacks. | このプレイブックでは、製造業とサプライチェーンのリーダーが組織全体でサイバーレジリエンスの文化を確立するのを支援するための 3 つの指針を概説する。過去 10 年間、製造事業者は急速なデジタル変革を経験し、成長性、効率性、収益性を高めてきた。しかし、このトレンドは、製造事業者を広範なサイバー脅威にさらしており、製造業はサイバー攻撃に最も狙われる分野の1つとなっている。 |
| As digitalization progresses, the manufacturing sector must prioritize building a robust cyber resilience culture to navigate the growing cyberthreat landscape. To this end, the Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains of the World Economic Forum convened a community of cyber leaders from across the manufacturing ecosystem to discuss key challenges and identify best practices. The community developed this playbook outlining three cyber resilience principles, supported by real-world manufacturing use cases to facilitate adoption and effective implementation. | デジタル化の進展に伴い、製造事業者は、拡大するサイバー脅威の状況を乗り切るために、強固なサイバーレジリエンス文化を構築することを優先しなければならない。このため、サイバーセキュリティセンターと世界経済フォーラムの先進製造業・サプライチェーンセンターは、製造業のエコシステム全体からサイバーリーダーのコミュニティを招集し、主要な課題について議論し、ベストプラクティスを特定した。このコミュニティは、3 つのサイバーレジリエンスの原則を概説するこのプレイブックを作成し、実際の製造業のユースケースに裏付けされ、導入と効果的な実施を促進した。 |
・[PDF]
目次...
| Contents | 目次 |
| Executive summary | エグゼクティブサマリー |
| 1 Prioritizing cyber resilience in manufacturing | 1 製造業におけるサイバーレジリエンスの優先順位付け |
| 1.1 Why cyber resilience is vital for manufacturing | 1.1 製造業にとってサイバーレジリエンスが不可欠な理由 |
| 1.2 The main cyber risks in manufacturing | 1.2 製造業における主なサイバーリスク |
| 1.3 The global impact of cyberattacks | 1.3 サイバー攻撃が世界に与える影響 |
| 2 Towards a cyber resilient manufacturing sector: Uncovering the challenges | 2 サイバーレジリエンスを備えた製造業を目指して: 課題を明らかにする |
| 2.1 Divergent cultures and resources | 2.1 文化とリソースの相違 |
| 2.2 Increased connectivity and legacy systems | 2.2 接続性の向上とレガシーシステム |
| 2.3 Operational sensitivity to downtime and extended ecosystem dependencies | 2.3 ダウンタイムやエコシステム依存の拡大に対する運用上の感度 |
| 2.4 Strategic alignment with business priorities | 2.4 ビジネス優先事項との戦略的整合性 |
| 2.5 Widespread and complex regulatory landscape | 2.5 広範かつ複雑な規制環境 |
| 3 Guiding principles | 3 指針となる原則 |
| 3.1 Make cyber resilience a business imperative | 3.1 サイバーレジリエンスをビジネス上の必須要件とする。 |
| 3.2 Drive cyber resilience by design | 3.2 設計によってサイバーレジリエンスを推進する |
| 3.3 Engage and manage the ecosystem | 3.3 エコシステムを関与させ、管理する |
| Conclusion | 結論 |
| Contributors | 貢献者 |
| Methodology | 方法論 |
| Endnotes | 注釈 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The manufacturing sector operates within a complex ecosystem, characterized by a variety of sites, extensive supply chains and interlinked networks. This ecosystem relies on a multitude of suppliers, vendors and partners. | 製造事業者は、さまざまな事業所、広範なサプライチェーン、相互にリンクしたネットワークを特徴とする複雑なエコシステムの中で事業を行っている。このエコシステムは、多数のサプライヤー、ベンダー、パートナーに依存している。 |
| Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also exposed the sector to a wide range of cyberthreats, making it the most targeted by cyberattacks – over the past three years, the manufacturing sector has accounted for one in four of all cyber incidents. | 過去10年間、製造事業者は急速なデジタル変革を経験し、成長、効率性、収益性に拍車をかけている。この傾向はまた、製造業を広範なサイバー脅威にさらし、サイバー攻撃から最も狙われるセクターにしており、過去3年間で、製造業は全サイバーインシデントの4件に1件を占めている。 |
| At the 2023 Annual Meeting of the World Economic Forum in Davos, business leaders highlighted the need to address cybersecurity risks for manufacturing at the ecosystem level, thus kickstarting the Cyber Resilience in Manufacturing initiative. Led by the Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains at the Forum, this initiative has brought together more than 30 representatives from across the manufacturing ecosystem. The aim is to develop actionable guidance on how to develop a culture of cyber resilience. | ダボスで開催された世界経済フォーラムの2023年年次総会で、ビジネスリーダーは製造業のサイバーセキュリティ・リスクにエコシステム・レベルで対処する必要性を強調し、製造業におけるサイバー・レジリエンス・イニシアチブを開始した。同フォーラムのサイバーセキュリティセンターと先進製造・サプライチェーンセンターが主導するこのイニシアティブには、製造エコシステム全体から30人以上の代表者が集まった。その目的は、サイバーレジリエンスの文化を発展させる方法について、実行可能なガイダンスを作成することである。 |
| Through extensive research and consultations with industry leaders as well as standard-setting and regulatory bodies, the Cyber Resilience in Manufacturing initiative has previously underscored the five primary challenges for developing a culture of cyber resilience in the manufacturing ecosystem. In response to these, the initiative has also formulated three guiding principles to support manufacturing and supply chain leaders in establishing a pervasive strategy for developing a cyber resilience culture throughout their organizations: | 製造業におけるサイバーレジリエンス・イニシアチブは、広範な調査と業界リーダー、標準設定団体、規制団体との協議を通じて、製造業エコシステムにおけるサイバーレジリエンス文化を発展させるための5つの主要な課題を明らかにした。また、これらに対応するため、このイニシアティブは、製造業とサプライチェーンのリーダーが組織全体にサイバーレジリエンス文化を浸透させるための戦略を確立するのを支援するための 3 つの指針を策定した: |
| 1. Make cyber resilience a business priority: Embed cyber resilience in the organization’s DNA or foundational structure, from the leadership to the shop floor. | 1. サイバーレジリエンスをビジネスの優先事項とする: 1. サイバーレジリエンスをビジネス上の優先事項とする:リーダーシップから現場に至るまで、組織の DNA や基盤構造にサイバーレジリエンスを組み込む。 |
| 2. Drive cyber resilience by design: Integrate cybersecurity into people, processes and assets. | 2. 設計によってサイバーレジリエンスを推進する: サイバーセキュリティを人、プロセス、資産に統合する。 |
| 3. Engage and manage the ecosystem: Build trusted partnerships, manage third-party risks and raise security awareness by identifying the key stakeholders. | 3. エコシステムを関与させ、管理する: 主要な利害関係者を特定することで、信頼できるパートナーシップを構築し、サードパーティのリスクを管理し、セキュリティ意識を高める。 |
| These three principles are interlinked and mutually supportive – and are applicable across any manufacturing industry and location. Each principle is defined with additional guidance, contextualized with key considerations and complemented with real-world manufacturing use cases to facilitate adoption and effective implementation. | これら3つの原則は相互にリンクし、相互に支援し合うものであり、製造業や場所を問わず適用できる。各原則は、追加ガイダンスとともに定義され、重要な考慮事項とともに文脈化され、実際の製造事業者のユースケースとともに補完されることで、導入と効果的な実施が促進される。 |
| The playbook suggested in this paper serves as a pragmatic framework to enable businesses to navigate strategic, organizational, operational, technical and regulatory challenges – and will foster a robust culture of cyber resilience that can effectively counteract both current and future threats. | 本稿で提案するプレイブックは、企業が戦略的、組織的、運用的、技術的、および規制的な課題を乗り 越えるための実用的なフレームワークとして機能するものであり、現在と将来の脅威の両方に効果 的に対抗できる強固なサイバーレジリエンス文化を醸成するものである。 |
本文の仮対訳は ↓ ↓
| 1. Prioritizing cyber resilience in manufacturing | 1. 製造業におけるサイバーレジリエンスを優先する。 |
| Manufacturing is among the sectors most targeted by cyberattacks, with disruptions having severe impact on the global economy. | 製造事業者は、サイバー攻撃によって最も標的とされる部門の 1 つであり、その混乱は世界経済に深刻な影響を及ぼす。 |
| 1.1 Why cyber resilience is vital for manufacturing | 1.1 製造業にサイバーレジリエンスが不可欠な理由 |
| Manufacturing is a global and diverse sector that is essential to society and the global economy. It spans various industries such as consumer goods, electronics, automotives, energy, healthcare, food and beverage, heavy industry, and oil and gas. | 製造業は、社会と世界経済にとって不可欠なグローバルで多様なセクターである。消費財、エレクトロニクス、自動車、エネルギー、ヘルスケア、食品・飲料、重工業、石油・ガスなど、さまざまな産業にまたがっている。 |
| Over the past decade, digital transformation has accelerated within the sector, with continuous investments in innovation and emerging technologies such as digital twins, robotics, generative artificial intelligence (GenAI), cloud computing and the industrial internet of things (IIoT).1 While this progressive digitalization fosters growth, efficiency and profitability, it also connects industrial and operational technologies (OT) to the digital world, exposing the sector to cyberthreats. | 過去10年間、デジタル・ツイン、ロボティクス、生成的人工知能(GenAI)、クラウド・コンピューティング、モノの産業用インターネット(IIoT)などの技術革新や新興技術への継続的な投資により、この業界ではデジタルトランスフォーメーションが加速してきた1。こうしたデジタル化の進展は、成長、効率性、収益性を促進する一方で、産業技術や運用技術(OT)をデジタルの世界につなげ、この業界をサイバー脅威にさらすことにもなる。 |
| Heightened connectivity of the manufacturing digital ecosystem to various enterprise systems, the internet, cloud providers and service providers presents significant challenges in the industrial OT environments. This transition from traditional airgapped systems to hyperconnected environments augments cybersecurity risks. Furthermore, discrepancies in investments between low- and high-revenue organizations exacerbate these challenges.2 The boost in data exchange with the entire supply chain, including small and medium enterprises (SMEs) that are typically low-tech, has increased this risk. | 製造事業者のデジタル・エコシステムがさまざまなエンタープライズ・システム、インターネット、クラウド・プロバイダー、サービス・プロバイダーに接続されるようになったことで、産業用OT環境は大きな課題に直面している。従来のエアギャップシステムからハイパーコネクテッド環境への移行は、サイバーセキュリティリスクを増大させる。さらに、低収益の組織と高収益の組織との間の投資の不一致が、こうした課題をさらに悪化させている2。一般的にローテクである中小企業(SME)を含むサプライチェーン全体とのデータ交換の活発化が、このリスクを増大させている。 |
| The upsurge in connectivity and data transparency in the manufacturing ecosystem has expanded the sector’s exposure, making it, for three years in a row, the sector most targeted by cyberattacks, accounting for 25.7%,3 with ransomware comprising 71% of these attacks.4 Given the complexity of modern supply chains, disruptions along the manufacturing process can have systemwide cascading effects, beyond the control of any single entity. | 製造エコシステムにおける接続性とデータの透明性の高まりは、製造業のエクスポージャーを拡大し、3年連続でサイバー攻撃の最も標的となる部門となり、その割合は25.7%3、ランサムウェアはその71%を占めている4。現代のサプライチェーンが複雑であることを考えると、製造プロセスにおける混乱は、いかなる事業体の制御も及ばず、システム全体に連鎖的な影響を及ぼす可能性がある。 |
| The inherent complexities of manufacturing and supply chains demand a holistic approach to mitigating cyber risks. Embedding a culture of cyber resilience in the organization’s DNA is essential. | 製造とサプライチェーン特有の複雑性から、サイバーリスクの低減には全体的なアプローチが求められる。組織の DNA にサイバーレジリエンスの文化を根付かせることが不可欠である。 |
| FIGURE 1 The manufacturing ecosystem | 図 1 製造エコシステム |
| FIGURE 2 Increasing cyberthreats in manufacturing require an evolution of cyber resilience | 図 2 製造事業者におけるサイバー脅威の増大に伴い、サイバーレジリエンスの進化が求められている |
| 1.2 The main cyber risks in manufacturing | 1.2 製造業における主なサイバーリスク |
| Cyberattacks can not only disrupt businesses and supply chains, offsetting the gains from digitalization, but also result in financial, productivity, reputational and even physical damage. In fact, nearly 57% of cyberattacks on OT in 2022 had realworld physical consequences, including production and loading disruptions, fires damaging equipment and accidents putting shop-floor workers at risk.5 | サイバー攻撃は、ビジネスやサプライチェーンを混乱させ、デジタル化による利益を相殺するだけでなく、財務、生産性、評判、さらには物理的な損害をもたらす可能性がある。実際、2022年におけるOTへのサイバー攻撃の約57%は、生産と積荷の中断、火災による機器の損傷、現場作業員をリスクにさらす事故など、現実に物理的な影響を及ぼしている5。 |
| The tally of cyberattacks continues to surge year after year, with extortion-based attacks remaining a prominent type.6 In 2023, ransomware payments reached an unprecedented $1.1 billion.7 Over the course of 2023 alone, the number of ransomware attacks on industrial infrastructure doubled, posing a significant threat to supply chain and manufacturing operations. | サイバー攻撃の件数は年々急増を続けており、恐喝型攻撃は依然として顕著なタイプである6 。2023年、ランサムウェアによる支払額は前例のない11億ドルに達した7 。2023年だけで、産業インフラに対するランサムウェア攻撃の件数は倍増し、サプライチェーンと製造事業者に重大な脅威をもたらした。 |
| Ransomware remains the top-of-mind concern for manufacturers with 40% of the Cyber Resilience in Manufacturing survey respondents8 ranking it first. According to recent research, ransomware attacks on industrial organizations increased by nearly 50% in 2023, with 71% of attacks directed at manufacturers.9 | ランサムウェアは依然として製造事業者の最大の関心事であり、「製造業におけるサイバー・レジリエンス」調査の回答者8 の40%がランサムウェアを1位に挙げている。最近の調査によると、産業組織に対するランサムウェア攻撃は2023年に50%近く増加し、その71%が製造事業者を標的としている9。 |
| Manufacturing organizations present an attractive target for ransomware attacks, given their low tolerance for downtime and their relatively low level of cyber maturity compared to other sectors. Furthermore, these industries frequently underinvest in cyber resilience, primarily due to the substantial costs associated with redesigning manufacturing lines and upgrading equipment.10 | 製造事業者は、ダウンタイムに対する耐性が低く、サイバー成熟度が他業種に比べて相対的に低いことから、ランサムウェア攻撃の格好の標的となっている。さらに、こうした業種では、製造ラインの再設計や機器のアップグレードに多額のコストがかかることなどから、サイバーレジリエンスへの投資が不十分であることが多い10。 |
| Among the significant risks facing manufacturing organizations, social engineering and phishing, ranked as the second most prominent cyberthreats overall, were identified by 34% of survey respondents. Following closely, supply chain attacks secured the third position. Insider threats and denial of service attacks ranked lower in the overall hierarchy of cyberthreats for the survey respondents overall. | 製造事業者が直面する重大なリスクのうち、ソーシャルエンジニアリングとフィッシングは、全体として 2 番目に顕著なサイ バー脅威としてランク付けされ、調査回答者の 34%が認識している。これに僅差でサプライチェーン攻撃が3位を確保した。インサイダー脅威とサービス拒否攻撃は、調査回答者全体のサイバー脅威の階層で下位にランクされた。 |
| However, respondents from the health and healthcare sector ranked insider threat as their second most concerning cyberthreat, alongside ransomware, with supply chain attacks taking the top spot. Similarly, participants from the food and beverage industry also highlighted insider threats as a top concern, followed by social engineering and ransomware. | しかし、医療・ヘルスケア分野の回答者は、ランサムウェアと並んで、インサイダーの脅威を最も懸念しているサイバー脅威の第2位とし、サプライチェーン攻撃が第1位となった。同様に、食品・飲料業界の回答者も、インサイダー脅威を最大の懸念事項として取り上げ、ソーシャル・エンジニアリングとランサムウェアがそれに続いた。 |
| To reap the benefits of digitalization, it is crucial for the manufacturing sector to be prepared against the growing threat landscape and become cyber resilient. | デジタル化の恩恵を享受するためには、製造事業者が増大する脅威の状況に備え、サイバー脅威に強くなることが極めて重要である。 |
| FIGURE 3 Top five cyber risks to manufacturing | 図3 製造業にとってのサイバーリスク上位5つ |
| 1. Ransomware: A type of attack where threat actors take control of a target’s assets, encrypt them and demand a ransom in exchange for the return of the asset’s availability. Attackers can breach intellectual property (IP) information, access victims’ data and block critical systems belonging to manufacturers or their critical third parties, disrupting day-to-day business activities. | 1. ランサムウェア: 脅威行為者が標的の資産をコントロールし、暗号化し、資産の可用性を取り戻す代わりに身代金を要求する攻撃の一種。攻撃者は知的財産(IP)情報を侵害し、被害者のデータにアクセスし、製造事業者やその重要なサードパーティが所有する重要なシステムをブロックし、日々の事業活動を妨害する。 |
| 2. Social engineering attack: Exploits people by benefiting from human error or behaviour to access information or services. It uses manipulation to trick victims into giving away sensitive information. Common methods include phishing, spear-phishing and other tactics like baiting and scareware. | 2. ソーシャル・エンジニアリング攻撃: 情報またはサービスにアクセスするために、人為的なミスや行動を利用する。ソーシャル・エンジニアリング攻撃は、被害者を騙して機密情報を提供させようとする。一般的な手法には、フィッシング、スピアフィッシング、その他、おとりやスケアウェアなどの手口がある。 |
| 3. Supply chain attack: Focuses on the interactions and connections between organizations and their suppliers. Attackers use the service supplier’s vulnerabilities to access or disrupt the manufacturing organization. Attack techniques include: malware infection, social engineering, brute-force attack, exploitation of software vulnerability or configuration vulnerability, physical attack and counterfeiting. | 3. サプライチェーン攻撃: 組織とそのサプライヤーの相互作用やつながりに焦点を当てる。攻撃者はサービス・サプライヤーの脆弱性を利用して、製造組織にアクセスしたり、混乱させたりする。攻撃手法には、マルウェア感染、ソーシャル・エンジニアリング、ブルート・フォース攻撃、ソフトウェアの脆弱性や設定の脆弱性の悪用、物理的攻撃、偽造などがある。 |
| 4. Insider threat attack: Leverages an insider personnel’s authorized access or understanding of an organization to harm that organization. This harm can include malicious, complacent or unintentional acts that negatively affect the integrity, confidentiality and availability of the organization, its data, personnel or facilities. | 4. 内部脅威攻撃: 内部関係者の組織に対する認可されたアクセスや理解を利用して、その組織に危害を加える。この危害には、組織、そのデータ、要員、施設の完全性、機密性、可用性に悪影響を及ぼす悪意ある行為、自己満足的な行為、または意図的でない行為が含まれる。 |
| 5. Denial of service (DoS) or distributed denial of service (DDoS): Accomplished by flooding the targeted host or network with traffic until the target cannot respond or simply crashes, prevents access for legitimate users. This prevents legitimate users from accessing information systems, devices, insider personnel or other network resources. | 5. サービス拒否(DoS)または分散型サービス拒否(DDoS): 対象となるホストまたはネットワークにトラフィックを殺到させ、対象が対応できなくなるか、単にクラッシュするまで攻撃することで、正当なユーザのアクセスを阻止する。これにより、正当なユーザが情報システム、デバイス、内部関係者、その他のネットワーク・リソースにアクセスできなくなる。 |
| Source: Cyber resilience in Manufacturing Survey; ENISA Threat Landscape 2023;11 NIST12 | 出典 製造事業者におけるサイバーレジリエンス調査; ENISA Threat Landscape 2023; 11 NIST12 |
| 1.3 The global impact of cyberattacks | 1.3 サイバー攻撃のグローバルな影響 |
| With production facilities spanning the globe, each interconnected entity acts as both a producer and a consumer, creating a complex network vulnerable to cyberthreats. Consequently, a cyberattack on one company can trigger ripple effects across the entire ecosystem, leading to costly consequences.13 | 世界中に広がる生産施設では、相互に接続された各事業体が生産者としても消費者としても機能し、サイバー脅威に脆弱な複雑なネットワークを形成している。その結果、一企業へのサイバー攻撃はエコシステム全体に波及し、コストのかかる結果を招きかねない13 。 |
| The resulting risks are systemic, contagious and often beyond the understanding or control of any single entity. According to the Global Cybersecurity Outlook 2024, 54% of organizations lack adequate visibility into the vulnerabilities of their supply chain. Additionally, 41% of organizations that suffered a material impact from a cyberattack reported that the breach originated from a third party.14 | その結果生じるリスクはシステミックであり、伝染性があり、しばしば単一の事業体の理解や制御を超える。グローバル・サイバーセキュリティ・アウトルック2024」によると、54%の組織がサプライチェーンの脆弱性を十分に把握できていない。さらに、サイバー攻撃によって重大な影響を受けた組織の41%は、侵害の原因がサードパーティにあると報告している14。 |
| Recent cyber incidents further highlight the immense financial and operational toll of such attacks. For instance, in February 2024, a German battery manufacturer experienced a significant cyberattack, resulting in production halts at five plants for over two weeks.15 In 2023, a ransomware attack on a large semiconductor industry supplier resulted in an estimated cost of $250 million in the next quarter.16 Similarly, in 2022, a prominent car manufacturer was forced to suspend production at 14 plants for a day, leading to an estimated output loss of 13,000 cars, due to a cyberattack against a components supplier.17 | 最近のサイバーインシデントは、このような攻撃による莫大な財務的・経営的損害をさらに浮き彫りにしている。例えば、2024 年 2 月には、ドイツの電池メーカーが大規模なサイバー攻撃を受け、5 つの工場で 2 週間以上にわたって生産が停止した15 。2023 年には、半導体業界の大手サプライヤーがランサムウェア攻撃を受け、次の四半期に推定 2 億 5,000 万ドルのコストが発生した16 。同様に、2022 年には、著名な自動車メーカーが部品サプライヤーに対するサイバー攻撃を受け、14 の工場で 1 日の生産停止を余儀なくされ、推定 13,000 台の生産ロスが発生した17 。 |
| The Cyber Resilience in Manufacturing survey (please see the Methodology) identifies business disruption as the primary impact of cyber incidents, with 60% of respondents highlighting its significance. These findings align with the Global Cybersecurity Outlook 2024, where 45% of leaders expressed operational disruption as their greatest concern in the event of a cyber incident. Safety concerns ranked second, with 35% of respondents, followed by potential damage to customer assets. These insights emphasize the profound and far-reaching impact of cyberattacks within the manufacturing sector and the urgent need for robust cybersecurity measures to safeguard its integrity. | 製造業におけるサイバーレジリエンス調査(「方法論」を参照)では、サイバーインシデントの主な影響として事業の中断を挙げており、回答者の60%がその重要性を強調している。これらの調査結果は、「グローバル・サイバーセキュリティ・アウトルック2024」の調査結果と一致しており、45%のリーダーが、サイバーインシデント発生時の最大の懸念事項として業務の中断を挙げている。安全性への懸念は回答者の35%で第2位となり、顧客資産への潜在的損害がそれに続いた。これらの洞察は、製造事業者セクターにおけるサイバー攻撃の重大かつ広範囲な影響と、その完全性を守るための強固なサイバーセキュリティ対策の緊急の必要性を強調している。 |
| FIGURE 4 The impact of cyberattacks worldwide | 図4 世界におけるサイバー攻撃の影響 |
| The cost of cybercrime has increased 125% per year on average, with the impact of a successful cyberattack reaching $4.73 million per attack in industrial settings. If this growth continues, the projected global impact could reach $10.5 trillion by 2025 | サイバー犯罪のコストは年平均125%増加しており、サイバー攻撃が成功した場合の影響は、産業環境において1回の攻撃あたり473万ドルに達する。この成長が続けば、2025年までに世界的な影響は10兆5,000億ドルに達すると予測される。 |
| 2. Towards a cyber resilient manufacturing sector: Uncovering the challenges | 2. サイバーレジリエンス製造業を目指して: 課題を明らかにする |
| Organizational challenges rank as the top dimension inhibiting the adoption of a cyber resilient culture. | 組織の課題は、サイバーレジリエンス文化の導入を阻害する最重要課題である。 |
| The manufacturing sector operates within a complex ecosystem characterized by diverse sites, extensive supply chains and interconnected networks, which rely on numerous suppliers, vendors and partners. While the sector reaps the benefits of digitalization and emerging technologies, it also grapples with challenges across five dimensions, each presenting unique hurdles on the path to cyber resilience. | 製造事業者は、多様な拠点、広範なサプライチェーン、相互接続されたネットワークを特徴とする複雑なエコシステムの中で事業を行っており、多数のサプライヤー、ベンダー、パートナーに依存している。この部門は、デジタル化と新興テクノロジーの恩恵を享受する一方で、5 つの次元にまたがる課題にも取り組んでおり、それぞれがサイバーレジリエンスへの道筋に独自のハードルを提示している。 |
| FIGURE 5 Five key dimensions of challenges in manufacturing | 図 5 製造事業者が直面する 5 つの重要な次元の課題 |
| Strategic: Positioning among business priorities | 戦略:ビジネス上の優先事項の中での位置付け |
| Organizational: Alignment across organizational structure | 組織: 組織構造:組織構造全体の整合性 |
| Operational: Integration with operational workflows | 運用:運用ワークフローとの統合 |
| Technical: Capacity for technical implementation | 技術:技術的な実施能力 技術的な実施能力 |
| Regulatory: Compliance with global regulatory requirements | 規制:グローバルな規制要件の遵守 |
| 2.1 Divergent cultures and resources | 2.1 文化とリソースの相違 |
| Divergent organizational culture between enterprise and industrial environments presents the most significant obstacle to cybersecurity efforts, according to the Cyber Resilience in Manufacturing survey (please refer to Methodology). | 製造業におけるサイバーレジリエンスに関する調査(「方法論」を参照)によると、エンタープライズ環境と産業 環境の間で組織文化が異なることが、サイバーセキュリティへの取り組みにとって最も大きな障害となっている。 |
| – Distinct priorities. IT and OT teams traditionally work at different ends of the technology stack and data flow. They tend to approach, prioritize and govern cybersecurity differently. Lack of collaboration on a formal IT/OT convergence strategy hinders secure digitalization of industrial environments. | ・優先順位が異なる。IT チームと OT チームは,伝統的にテクノロジー・スタックとデータ・フローの異なる端で仕事をしている。サイバーセキュリティに対するアプローチ,優先順位,ガバナンスも異なる傾向がある。正式なIT/OTコンバージェンス戦略に関する協力の欠如が,産業環境の安全なデジタル化を妨げている。 |
| – Fragmented cybersecurity governance. Many organizations lack a comprehensive cybersecurity governance framework, leading to decentralized decision-making at the manufacturing site level and hence increased risk. Effective cybersecurity governance requires awareness, training and incentives across all operational sites, making sure they all integrate cybersecurity into daily hygiene routines, similar to already existing practices for employee safety, product quality and equipment maintenance and integration. | ・サイバーセキュリティガバナンスの断片化。多くの政府は包括的なサイバーセキュリティ・ガバナンスの枠組みを欠いているため,製造現場レベルでの意思決定が分散し,リスクが増大している。効果的なサイバーセキュリティ・ガバナンスを実現するには,従業員の安全,製品の品質,設備の保守・統合に関する既存の慣行と同様に,すべての製造拠点がサイバーセキュリティを日常の衛生ルーチンに組み込んでいることを確認し,意識向上およびトレーニングを行い,インセンティブを与える必要がある。 |
| – Distribution of responsibilities. With the increased pressure on business to cut cost and increase profitability, many organizations tend to have people wearing multiple hats and performing various tasks, ignoring the importance of segregation of duty and the associated risks. For example, database administrators may serve as system administrators, enabling them to have overarching rights to delete logs and cover up instances of fraud. | ・責任の分散。コスト削減と収益性向上に対する企業へのプレッシャーが高まる中,多くの組織では,職務分掌の重要性とそれに伴うリスクを無視して,複数の担当者がさまざまな業務を兼務する傾向がある。例えば,データベース管理者がシステム管理者を兼務することで,ログの削除や不正の隠蔽を行う包括的な権限を持つことができる。 |
| – Talent shortage. The global cybersecurity talent shortage, reaching nearly 4 million, is further exacerbated in the manufacturing sector, where the shortage surpasses 67%.18 Finding and retaining talent with expertise in both cybersecurity and manufacturing operations can be difficult, making the cyber resilience journey harder. | ・人材不足。世界のサイバーセキュリティ人材不足は 400 万人近くに達しているが、製造業ではさらに深刻化しており、人材 不足率は 67%を超えている18 。サイバーセキュリティと製造業務の両方に精通した人材を見つけ、確保す ることは困難であり、サイバーレジリエンスをより困難なものにしている。 |
| 2.2 Increased connectivity and legacy systems | 2.2 接続性の向上とレガシーシステム |
| Technical challenges have been recognized as the second largest hurdle to cyber resilience. The convergence of outdated legacy systems with the proliferation of connected assets within industrial control systems has engendered an environment inadequately prepared to withstand the sophisticated tactics and capabilities wielded by cybercriminals. | 技術的課題は、サイバーレジリエンスにとって 2 番目に大きなハードルであると認識されている。時代遅れのレガシーシステムと、産業用制御システム内で接続された資産の急増とが融合することで、 サイバー犯罪者が行使する高度な戦術と能力に耐えるための準備が不十分な環境が生み出されている。 |
| – Legacy systems. Legacy OT and industrial control systems introduce significant vulnerabilities due to outdated designs and limited access management. Despite their age, these systems remain integral to manufacturing operations, functioning as they were originally intended. However, the challenge lies in their inability to adapt to modern cybersecurity standards and to the evolving threat landscape. Compounding this issue is the reluctance to replace these systems due to the high costs involved, as well as their interconnected nature. Consequently, financial resources are often redirected to more immediate operational needs, leaving legacy systems vulnerable. With nearly 71% of these systems lacking proper support and robust access management procedures, the risks associated with legacy infrastructure are escalating rapidly, doubling year by year.19 | ・レガシーシステム:レガシーOTおよび産業用制御システムは、時代遅れの設計と限定的なアクセス管理により、重大な脆弱性をもたらす。古いシステムにもかかわらず、これらのシステムは製造事業にとって不可欠であり、当初の意図通りに機能している。しかし、課題は、最新のサイバーセキュリティ標準や進化する脅威の状況に適応できないことにある。この問題をさらに深刻にしているのは、高額なコストと相互接続性のために、これらのシステムの置き換えに消極的なことである。その結果、財源はより差し迫った業務上のニーズに振り向けられることが多く、レガシーシステムは脆弱性のまま放置されている。これらのシステムの71%近くが、適切なサポートや強固なアクセスマネジメント手順を欠いているため、レガシーインフラストラクチャに関連するリスクは急速に拡大し、年々倍増している19。 |
| – Emerging technologies present a doubleedged sword, bringing both opportunities and challenges to cybersecurity. Investments in cutting-edge technologies introduce complexity and new risks, requiring a holistic and comprehensive update of cybersecurity strategies. For instance, the proliferation of highly connected industrial internet of things (IIoT) devices and the widespread adoption of artificial intelligence (AI) aim to improve service delivery and productivity. However, they also create new points of entry and expand the attack surface for malicious actors, requiring proactive adjustments of cyber education, risk assessment and validation protocols. | ・新興テクノロジーは諸刃の剣であり、サイバーセキュリティにチャンスと課題の両方をもたらす。最先端技術への投資は複雑さと新たなリスクをもたらすため、サイバーセキュリティ戦略を全体的かつ包括的に更新する必要がある。例えば、高度に接続されたモノのインターネット(IIoT)デバイスの普及や人工知能(AI)の広範な導入は、サービスの提供と生産性の向上を目指している。しかし、これらは新たな侵入口を生み出し、悪意ある行為者の攻撃対象領域を拡大することにもなるため、サイバー教育、リスクアセスメント、検証プロトコルの積極的な調整が必要となる。 |
| - Software reliance. Most manufacturing processes, operations and key applications are based on software applications. In fact, software plays a crucial role in optimizing processes, increasing efficiency and ensuring product quality for key areas such as procurement, invoicing and supply chain automation. These processes are crucial and their hyperconnectivity and interoperability complicates the task for manufacturers and their suppliers to ensure a good security posture.20 While managing the large software environment and its connectivity is cumbersome, the fact that an average of 77%-90%21 of any given piece of modern software is open-source software makes it even harder to control and attest for its security. The recent example of the XZ backdoor highlights this problem, given that the backdoor was introduced in 2021 and only discovered in 2024.22 | ・ソフトウェアへの依存:ほとんどの製造プロセス、オペレーション、主要アプリケーションは、ソフトウェア・アプリケーションに基づいている。実際、ソフトウェアは、調達、請求書発行、サプライチェーンの自動化などの主要分野において、プロセスの最適化、効率の向上、製品品質の確保に重要な役割を果たしている。これらのプロセスは極めて重要であり、その超接続性と相互運用性は、製造事業者とそのサプライヤーにとって、適切なセキュリティ態勢を確保する作業を複雑にしている20。大規模なソフトウェア環境とその接続性を管理することは煩雑であるが、現代のソフトウェアの平均77%~90%21がオープンソースソフトウェアであるという事実は、そのセキュリティを管理し、証明することをさらに困難にしている。最近のXZバックドアの例は、バックドアが2021年に導入され、2024年にようやく発見されたことを考えると、この問題を浮き彫りにしている22。 |
| 2.3 Operational sensitivity to downtime and extended ecosystem dependencie | 2.3 ダウンタイムとエコシステム依存の拡大に対する運用上の感度 |
| Operational challenges hinder manufacturing resilience, ranking third among the challenges in the survey, given the digitalization and automation of manufacturing operations and their oftencontinuous throughput requirement. | 製造業務のデジタル化と自動化が進み、継続的なスループットが要求されるようになっていることを踏ま えれば、業務上の課題は、製造事業のレジリエンスを阻害するものであり、調査における課題の中で第 3 位にランクされている。 |
| – Downtime sensitivity. Limited downtime tolerance makes manufacturing companies prime targets for ransomware attacks, constraining regular system updates and patches. | ・ダウンタイムへの敏感さ:ダウンタイムの許容範囲が狭いため,製造事業者はランサムウェア攻撃の格好の標的となっており, 定期的なシステムアップデートやパッチ適用が制約されている。 |
| – Ecosystem risks. As manufacturing facilities embrace interconnected data-driven processes, reliance on cloud services and remote maintenance operations, the scope of risk extends beyond traditional supply chains to encompass a broader ecosystem. This intricate network of dependencies challenges cybersecurity strategies, requiring a comprehensive mapping to address both direct and indirect risks. | ・エコシステムのリスク:製造事業者が相互接続されたデータ主導の処理,クラウドサービスへの依存,遠隔データ処理による保守運用を受け入れるにつれ,リスクの範囲は従来のサプライチェーンにとどまらず,より広範なエコシステムをも包含するようになる。この複雑な依存関係のネットワークはサイバーセキュリティ戦略の課題であり,直接的および間接的なリスクに対処するための包括的なマッピングが必要となる。 |
| – Pace of digitalization: Rapid digitalization drives the need for new expertise in both internal (e.g. industrialization) and external (e.g. robotics and AI) domains to manage evolving risk profiles effectively. | ・デジタル化のペース: 急速なデジタル化により、進化するリスクプロファイルを効果的に管理するために、内部(工業化など)と外部(ロボット工学やAIなど)の両方の領域で新たな専門知識が必要となる。 |
| 2.4 Strategic alignment with business priorities | 2.4 事業優先事項との戦略的整合性 |
| Strategic challenges arise from the dynamic tensions between economic factors, market forces and geopolitical tensions. | 戦略的課題は、経済的要因、市場原理、地政学的緊張の間の動的な緊張から生じる。 |
| – Integrating cybersecurity strategy into business priorities remains a persistent challenge for most organizations, as they often prioritize short-term business objectives over investing in long-term resilience measures. | ・長期的なレジリエンス対策への投資よりも短期的なビジネス目標を優先することが多いため,サイバーセキュリティ戦略をビジネスの優先事項に統合することは,ほとんどの組織にとって依然として根強い課題である。 |
| – Continuously shifting market dynamics further complicate strategic decision-making and hinder cybersecurity investments and prioritization, as organizations grapple with the need to adapt quickly to new market demands or competitive threats. | ・継続的に変化する市場ダイナミクスは,戦略的意思決定をさらに複雑にし,サイバーセキュリティへの投資と優先順位付けの妨げとなる。 |
| – Increasing geopolitical tensions impact manufacturing organizations both digitally and physically. Decentralized operations and reliance on global IT and OT suppliers amplify these challenges, requiring robust cyber resilience strategies. | ・地政学的緊張の高まりは,製造事業者にデジタル面でも物理面でも影響を及ぼす。業務が分散化し,グローバルな IT および OT サプライヤに依存するようになると,このような課題が 増加し,強固なサイバーレジリエンス戦略が必要となる。 |
| 2.5 Widespread and complex regulatory landscape | 2.5 広範かつ複雑な規制環境 |
| Manufacturing organizations must adhere to various regulations and industry standards related to human and product safety, data protection and cybersecurity. The decentralized operational environment and fragmented and diverse local, regional and industry-specific regulatory landscapes add another layer of complexity to cybersecurity efforts. | 製造事業者は、人体や製品の安全性、データ保護、サイバーセキュリティに関連するさまざまな規制 や業界標準を遵守しなければならない。分散化された業務環境と、断片化された多様な地域、地域、および業界固有の規制環境は、サイバーセキュリティの取り組みに新たな複雑性をもたらしている。 |
| – Widespread regulations pose a significant challenge for the manufacturing sector. For example, in the European Union, a new legislative proposal, the Cyber Resilience Act, is being discussed to introduce mandatory cybersecurity requirements for hardware and software products throughout their life cycle. Additionally, legislations such as the updated Network and Information Security (NIS 2) and Critical Entities Resilience (CER) directives classify certain manufacturing industries as “essential entities,” mandating them to manage their security risks and prevent or minimize the impact of incidents on recipients of their services. Due to the large variety of requirements, organizations have to adapt their operations and products to local and regional requirements. At the same time, the different incident reporting requirements and timelines challenge organizations on their response mechanisms and reaction time. | ・広範な規制は、製造事業者にとって大きな課題となっている。例えば、欧州連合(EU)では、ハードウェアとソフトウェア製品のライフサイクルを通じたサイバーセキュリティ要件の義務化を導入する新たな立法案「サイバーレジリエンス法」が議論されている。さらに、更新されたネットワーク・情報セキュリティ(NIS 2)指令や重要事業体レジリエンス(CER)指令などの法律は、特定の製造事業体を「必須事業体」に分類し、セキュリティリスクをマネジメントし、サービスの取得者に対するインシデントの影響を防止または最小化することを義務付けている。多種多様な要件があるため、組織は地域や地域の要件に合わせて業務や製品を適応させなければならない。同時に、異なるインシデント報告要件とタイムラインは、組織の対応メカニズムと反応時間に課題を突きつけている。 |
| – Legislative developments: In the United States (US), federal regulations target specific sectors like water, transportation and pipelines and a national cybersecurity strategy was released in March 2023. The US Cybersecurity & Infrastructure Security Agency’s CrossSector Cybersecurity Performance Goals outline cybersecurity practices that all critical infrastructure entities, large or small, should voluntarily implement to reduce risks to both critical infrastructure operations and US citizens.23 The country’s Securities and Exchange Commission has set a new precedent by charging a software company and its chief information security officer with fraud for internal control failures relating to allegedly known cybersecurity risks and vulnerabilities.24 | ・法規制の進展: 米国では、連邦規制が水、輸送、パイプラインなど特定のセクターを対象としており、国家サイバーセキュリティ戦略が2023年3月に発表された。米国サイバーセキュリティ・インフラセキュリティ庁の「CrossSector Cybersecurity Performance Goals」は、重要インフラの運用と米国市民の両方に対するリスクを低減するために、規模の大小を問わずすべての重要インフラ事業体が自主的に実施すべきサイバーセキュリティの実践について概説している23 。同国の証券取引委員会は、既知のサイバーセキュリティリスクと脆弱性に関連するとされる内部統制の不備について、ソフトウェア会社とその最高情報セキュリティ責任者を詐欺罪で告発し、新たな先例を作った24 。 |
| – Standards and Frameworks: The International Society of Automation (ISA)/International Electrotechnical Commission’s (IEC) ISA/ IEC 62443 is considered by many to be the primary cybersecurity standard for industrial control systems. It currently includes nine standards, technical reports and technical specifications.25 The US government’s National Institute of Standards and Technology’s (NIST) Cybersecurity Framework Version 1.1 Manufacturing Profile offers a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to manufacturing systems. The new NIST Cybersecurity Framework 2.0 also provides a voluntary framework to help manufacturers safeguard their cybersecurity posture. In addition, cybersecurity has been identified as a key risk for business and has been introduced as an additional requirement for quarterly review at the board level as part of the environmental, social and governance (ESG) strategy.26 | ・標準とフレームワーク: 国際オートメーション学会(ISA)/国際電気標準会議(IEC)の ISA/IEC 62443 は、産業用制御システム向けの主要なサイバーセキュリティ標準であると多くの人に考えられている。25 米国政府の国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク バージョン 1.1 製造プロファイルは、サイバーセキュリティ活動をマネジメントし、製造システムのサイバーリスクを低減するための自主的なリスクベースのアプローチを提供している。また、新しいNISTサイバーセキュリティ・フレームワーク2.0は、製造事業者がサイバーセキュリティ態勢を保護するための自主的なフレームワークを提供している。さらに、サイバーセキュリティはビジネスの重要なリスクとして認識されており、環境・社会・ガバナン ス(ESG)戦略の一環として、取締役会レベルでの四半期レビューの追加要件として導入されている26 。 |
| Additionally, the SANS Institute, a leading cybersecurity training and research centre, has published “The 5 Critical Controls for ICS/ OT Cybersecurity”, highlighting the most pressing controls based on an analysis of all the known cyberattacks on industrial control systems.27 However, there is no overarching “cybersecurity gold standard” tailored specifically for manufacturers, one that would comprehensively address the different sectors’ and countries’ interdependencies and establish security requirements beyond the existing frameworks and IT standards. | さらに、サイバーセキュリティのトレーニング・研究センターとして知られるSANS Instituteは、「ICS/OTサイバーセキュリティのための5つの重要な制御」を発表し、産業用制御システムに対する既知のすべてのサイバー攻撃の分析に基づいて、最も緊急性の高い制御を強調している27 。しかし、製造事業者に特化した包括的な「サイバーセキュリティのゴールドスタンダード」は存在せず、さまざまな部門や国の相互依存関係に包括的に対応し、既存のフレームワークやIT標準を超えるセキュリティ要件を確立するようなものはない。 |
| FIGURE 6 In recent years there has been a rise in global cyber policies and regulations increasing the complexity for manufacturing | 図 6 近年、グローバルなサイバー政策や規制が増加し、製造事業者の複雑さが増している。 |
| 3. Guiding principles | 3. 指針 |
| Making cyber resilience a core part of the organizational DNA is essential to navigate cyber risks across the manufacturing sector. | サイバーレジリエンスを組織の DNA の中核部分とすることは、製造部門全体のサイバーリスクをナビゲート するために不可欠である。 |
| The three guiding principles aim to support manufacturing and supply chain leaders in establishing a strategy to deliver an overarching cybersecurity culture across their organizations. These principles complement existing frameworks, standards and regulations. The principles have been formulated after extensive research and consultations with industry leaders and standards and regulatory bodies as well as insights from the Cyber Resilience in Manufacturing initiative. Each principle is supplemented with additional guidance, key considerations and use-cases to facilitate adoption and effective implementation. | 3つの指導原則は、製造業とサプライチェーンのリーダーが、組織全体に包括的なサイバーセキュリティ文化を提供する戦略を確立するのを支援することを目的としている。これらの原則は、既存のフレームワーク、標準、規制を補完するものである。この原則は、製造業におけるサイバーレジリエンス・イニシアチブからの洞察に加え、広範な調査や業界リーダー、標準・規制団体との協議を経て策定された。各原則は、導入と効果的な実施を促進するための追加ガイダンス、重要な考慮事項、ユースケースで補足されている。 |
| FIGURE 7 Guiding principles to build a cyber resilience culture in manufacturing | 図 7 製造業におけるサイバーレジリエンス文化を構築するための指導原則 |
| Make cyber resilience a business imperative: | サイバーレジリエンスをビジネス上の必須要件とする: |
| Embed cyber resilience into the organizational DNA, from leadership to shop floor. | サイバーレジリエンスを、リーダーシップから製造現場に至るまで、組織の DNA に組み込む。 |
| – Lead from the top | ・トップが主導する |
| – Establish cybersecurity governance | ・サイバーセキュリティガバナンスを確立する。 |
| – Secure budget and resources | ・予算とリソースを確保する |
| – Create incentives | ・インセンティブを創出する |
| Drive cyber resilience by design: | 設計によってサイバーレジリエンスを推進する: |
| Integrate cybersecurity into every process and asset to foster a cyber-resilient environment. | サイバーセキュリティをあらゆるプロセスや資産に組み込んで、サイバーレジリエンス環境を醸成する。 |
| – Invest in education and training | ・教育とトレーニングに投資する |
| – Include cybersecurity in critical business processes | ・重要なビジネスプロセスにサイバーセキュリティを組み込む |
| – Continuously improve operational assets | ・運用資産を継続的に改善する。 |
| – Prepare to respond to and recover from any cyber incident | ・あらゆるサイバーインシデントへの対応と復旧に備える。 |
| Engage and manage the ecosystem: | エコシステムに関与し、管理する: |
| Engage with the ecosystem to build trusted partnerships, manage risks and raise security awareness | エコシステムと連携して、信頼できるパートナーシップを構築し、リスクをマネジメントし、セキュリティ意識を高める。 |
| – Identify key stakeholders | ・主要な利害関係者を識別する |
| – Establish cybersecurity baselines | ・サイバーセキュリティのベースラインを確立する |
| – Ensure consistent oversight | ・一貫した監視を確保する |
| – Keep learning | ・学習を継続する |
| 3.1 Make cyber resilience a business imperative | 3.1 サイバーレジリエンスをビジネス上の必須要件にする |
| Making cyber resilience a core part of the organizational DNA is essential to navigate cyber risks across the manufacturing sector. | サイバーレジリエンスを組織の DNA の中核的な部分とすることは、製造部門全体のサイバーリ スクに対処するために不可欠である。 |
| The key elements to make cyber resilience a business imperative revolve around cultural change; comprehensive cybersecurity governance; securing budget and resources; and creating incentives to ensure cybersecurity is an objective that all stakeholders relate to. | サイバーレジリエンスをビジネス上の必須要件とするための重要な要素は、企業文化の変革、包括的なサイバーセキュリティガバナンス、予算とリソースの確保、およびサイバーセキュリティをすべての利害関係者が関係する目標にするためのインセンティブの創出である。 |
| Lead from the top | トップが主導する |
| Effective culture change always originates from the top, which is why it is imperative for manufacturing and supply chain leaders to personally champion the necessary mindset shift and serve as exemplary role models. | 効果的な文化の変革は常にトップから生まれる。そのため、製造事業者やサプライチェーンのリーダーは、必要な考え方の転換を自ら支持し、模範的なロールモデルとしての役割を果たすことが不可欠である。 |
| Key considerations: | 主な検討事項 |
| – Ensure continuous education: Leaders must invest time in learning foundational cyber resilience strategies. It’s crucial that they not only grasp the vital disruption created by cybersecurity risks but also stay current on the ever-evolving threat landscape. | ・継続的な教育を徹底する: リーダーは,基礎的なサイバーレジリエンス戦略の学習に時間を投資しなければならない。サイバーセキュリティリスクがもたらす重大な混乱について把握するだけでなく,日々進化する脅威の状況に常に注意を払うことが極めて重要である。 |
| – Lead by example: Embodying the principles of cyber resilience in their actions and communications, leaders can inspire their teams to adopt a proactive approach to cybersecurity. This, in turn, safeguards critical operations and assets against evolving threats.28 | ・率先垂範する: 行動やコミュニケーションにおいてサイバーレジリエンスの原則を体現することで,リーダーは,サイバーセキュリティに積極的なアプローチを採用するようにチームを鼓舞することができる。これにより,重要な業務と資産を進化する脅威から守ることができる28。 |
| – Need for Cultural Change: leaders must recognize the imperative for a mindset shift across their organization. Traditional manufacturing and supply chain culture, typically centred around cost, cash, efficiency and service, may inadvertently overlook cybersecurity requirements, leaving vulnerabilities in an increasingly digital landscape. | ・文化変革の必要性:リーダーは,組織全体の意識変革が不可欠であることを認識しなければならない。従来の製造業やサプライチェーンの文化は,コスト,現金,効率,サービスが中心であったため,サイバーセキュリティの要件をうっかり見落としてしまい,デジタル化が進む中で脆弱性が残る可能性がある。 |
| – Advocacy for Cyber Resilience: leaders should vocally for cyber resilience. This entails seamlessly integrating it into the existing fabric of the supply chain culture, akin to the longstanding emphasis placed on people safety or product quality. | ・サイバーレジリエンスの提唱:リーダーは,サイバーレジリエンスを声高に提唱すべきである。そのためには,人の安全や製品の品質に長年重点を置いてきたように,サイバー レジリエンスをサプライチェーン文化の既存の枠組みにシームレスに組み込むことが必要である。 |
| Key questions for manufacturing and supply-chain leaders | 製造事業者およびサプライチェーンのリーダーに対する主な質問 |
| Are senior leaders actively championing the importance of cyber resilience? | シニアリーダーは、サイバーレジリエンスの重要性を積極的に唱えているか? |
| How can leadership – at all levels – better integrate cyber resilience into the organizational culture? | あらゆるレベルのリーダーシップが、サイバーレジリエンスを組織文化にうまく統合するにはどうすればよいか? |
| Establish cybersecurity governance | サイバーセキュリティガバナンスの確立 |
| Establishing robust governance is paramount to driving responsibility and accountability throughout the organization. This allows a clear definition of the ownership of the cybersecurity risks, but also defines how organizations structure their action plan from top leadership down. | 強固なガバナンスを確立することは、組織全体で責任と説明責任を果たす上で最も重要である。これにより、サイバーセキュリティリスクのオーナーシップが明確に定義されるだけでなく、組織のトップリーダーシップ以下がどのように行動計画を構成するかも定義される。 |
| Key considerations: | 主な検討事項 |
| – Integrate cybersecurity for manufacturing into the organization’s overall enterprise risk management strategy.29 A comprehensive cybersecurity culture requires clear governance and strong leadership commitment to champion cyber resilience goals from the top down.30 This involves establishing clear policies, pragmatic procedures, regular checks and ongoing monitoring to address deviations promptly. | ・ 製造業のサイバーセキュリティを組織全体のリスクマネジメント戦略に組み込む29 。包括的なサイバーセキュリティの文化には、明確なガバナンスと、トップダウンでサイバーレジリエンスの 目標を支持する強力なリーダーシップのコミットメントが必要である30 。これには、明確な方針、現実的な手 順、定期的なチェック、および逸脱に迅速に対処するための継続的なモニタリングの確立が含まれる。 |
| – Set and clarify roles and responsibilities. Each employee should i) be aware of their role pertaining to cybersecurity; ii) understand their responsibilities; and iii) be held accountable. Making sure employees have well-defined roles and responsibilities ensures proper controls and reduces the risk of cyberthreats. | ・役割と責任を設定し、明確にする。各従業員は、i) サイバーセキュリティに関する自分の役割を認識し、ii) 責任を理解し、iii) 責任を負うべきである。従業員の役割と責任を明確にすることで、適切な管理を実現し、サイバー脅威のリスクを低減する。 |
| – Set collaboration models. Cybersecurity is not a single-person/single-team effort. It must extend to every part of the organization, including the plant floor. The chief information security officer (CISO )/security team needs to develop a productive relationship with manufacturing leaders and employees. The creation of an IT and OT security executive steering committee, comprising leadership from across IT and OT, ensures alignment at the top to drive subteams. Also, adding personnel from the OT infrastructure team to the enterprise security and security operations centre (SOC) teams creates more operations-related awareness in the security team. | ・コラボレーション・モデルを設定する。サイバーセキュリティは、1人または1チームの取り組みではない。サイバーセキュリティは、工場の現場を含め、組織のあらゆる部分に及ぶものでなければならない。最高情報セキュリティ責任者(CISO)/セキュリティ・チームは、製造業のリーダーや従業員と生産的な関係を築く必要がある。IT 部門と OT 部門のリーダーシップで構成される IT 部門と OT 部門のセキュリティ管理委員会を設置することで、サブチームを推進するためのトップの連携が確保される。また、エンタープライズ・セキュリティ・オペレーションセンター(SOC)チームに OT インフラストラクチャ・チームの要員を加えることで、セキュリティ・チームに運用関連の意識が高まる。 |
| Key questions for manufacturing and supply-chain leaders | 製造事業者およびサプライチェーンのリーダーに対する主な質問 |
| Do we have clear roles and responsibilities defined for cybersecurity across the organization? | サイバーセキュリティに関する役割と責任を組織全体で明確に定義しているか。 |
| Are cybersecurity policies and procedures well-defined, visible and regularly reviewed? | サイバーセキュリティの方針と手順が明確に定義され、可視化され、定期的に見直されているか。 |
| Secure budget and resources | 予算とリソースを確保する |
| Securing adequate budget and resources for cybersecurity initiatives is paramount to fostering a resilient cyber environment. Given the traditional focus on capital and cost efficiency as well as operational effectiveness, leaders must strategically allocate resources to address cybersecurity needs effectively. | サイバーセキュリティの取り組みに十分な予算とリソースを確保することは、レジリエンスの高いサイバー環境を育成する上で最も重要である。従来、資本効率やコスト効率、運用の効率性が重視されてきたことを踏まえると、サイバーセキュリティのニーズに効果的に対応するために、リーダーは戦略的にリソースを配分する必要がある。 |
| Key considerations: | 主な検討事項 |
| – Secure cybersecurity foundations, such as budget allocation for dedicated cybersecurity leaders, upgrades of obsolete legacy systems, and conduct of awareness and training campaigns. By investing in these critical areas, organizations can establish a strong cybersecurity posture and mitigate potential risks. | ・専任のサイバーセキュリティ・リーダーへの予算配分,時代遅れのレガシー・システムのアップグレード,意識向上およびトレーニング・キャンペーンの実施など,サイバーセキュリティの基盤を確保する。これらの重要な分野に投資することで,組織は強固なサイバーセキュリティ体制を確立し,潜在的なリスクを軽減することができる。 |
| – Ensure dedicated staffing and effective collaboration by dedicating cybersecurity staff, both centrally and in proximity to manufacturing and supply chain operations, to continuously improve cybersecurity capabilities. Collaborate with internal stakeholders such as IT and security teams, as well as external partners and vendors, to maximize the efficiency of cyber resilience investment strategies. | ・サイバーセキュリティ能力を継続的に向上させるために,サイバーセキュリティ担当者を中央および製造・サプライチェーン業務の近くに配置し,専任の人員配置と効果的な協力体制を確保する。IT チームやセキュリティチームなどの社内の利害関係者だけでなく,社外のパートナ ーやベンダーとも協力して,サイバーレジリエンス投資戦略の効率を最大化する。 |
| – Adopt strategic resource allocation and agility by prioritizing investments – whether related to staffing, solutions or infrastructure | ・リスク評価と組織の優先順位に基づいて,人員配置,ソリューション,インフラストラクチャのいずれに関連する投資であっても優先順位を決定し,戦略的なリソース配分と俊敏性を採用する。 |
| – based on risk assessments and organizational priorities. | ・リスクアセスメントと組織の優先順位に基づいて投資の優先順位を決定する。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Have we allocated sufficient budget and resources to support cybersecurity initiatives? | サイバーセキュリティの取り組みを支援するために十分な予算とリソースを割り当てているか。 |
| How can we ensure ongoing financial support for cybersecurity efforts? | サイバーセキュリティへの取り組みに対する継続的な財政支援をどのように確保できるか? |
| Create incentives | インセンティブを設ける |
| Establishing incentives to prioritize cybersecurity as an objective that all stakeholders in manufacturing environments relate to is of fundamental importance. | サイバーセキュリティを、製造環境のすべての利害関係者が関係する目標として優先させるインセンティブを確立することは、基本的に重要である。 |
| Key considerations: | 主な検討事項 |
| – Advocate for compelling cyber career paths that not only encompass vertical cybersecurity roles but also facilitate cross-pollination with manufacturing and supply chain career paths. Encourage professionals from various profiles in the OT environment to explore rewarding opportunities in cybersecurity. | ・サイバーセキュリティの垂直的な役割を包含するだけでなく,製造やサプライチェーンのキャリアパスとの相互融合を促進するような,魅力的なサイバーキャリアパスを提唱する。OT 環境のさまざまなプロフィールの専門家に,サイバーセキュリティのやりがいのある機会を探るよう奨励する。 |
| – Establish a recognition and reward framework. Recognize and empower cybersecurity champions across all organization levels. Incorporate cybersecurity as a key performance indicator (KPI) and reward employees accordingly. Align reward systems to encourage adherence to cybersecurity protocols and proactive threat identification. | ・表彰と報奨の枠組みを確立する。すべての組織レベルにわたってサイバーセキュリティのチャンピオンを評価し、権限を与える。サイバーセキュリティを重要業績評価指標(KPI)に組み込み、それに応じて従業員に報奨を与える。報奨制度を整え、サイバーセキュリティ・プロトコルの遵守と脅威の積極的な特定を奨励する。 |
| – Create healthy competition. Benchmark peers while creating an information-sharing culture based on rewards. Adjust the reward systems to incentivize adherence to cybersecurity protocols, from proactive threat identification to systematic incident reporting and response. | ・健全な競争を生み出す。報酬に基づく情報共有の文化を醸成しながら,同業他社をベンチマークする。サイバーセキュリティのプロトコルを遵守するインセンティブを与えるように報奨制度を調整する。 |
| – Cultivate a culture of transparency, where issues are swiftly elevated, embracing the mantra that “bad news should travel fast”. Ensure that mistakes are not stigmatized and issues are investigated with rigour, seeking to understand and learn. | ・悪いニュースは早く伝わるべきである」というマントラを受け入れ,問題が迅速に提起されるような透明性の高い文化を醸成する。ミスに汚名を着せず,問題を厳密に調査し,理解し,学ぶようにする。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Are incentives in place to encourage proactive cyber resilience behaviours among employees? | 従業員の積極的なサイバーレジリエンス行動を奨励するインセンティブは整備されているか? |
| How can we improve our reward systems to promote both compliance and ongoing learning? | コンプライアンスと継続的な学習の両方を促進するために、報奨制度をどのように改善できるか? |
| CASE STUDY 1 Unilever: Leveraging factory cybersecurity champions | CASE STUDY 1 ユニリーバ: 工場のサイバーセキュリティチャンピオンを活用する |
| In response to the evolving landscape of cyberthreats, Unilever embarked on a transformative programme to fortify its cyber defences across its factories worldwide. Central to this initiative was the establishment of a robust “Factory Cyber Security” organization. At its helm stands a “Global Factory Cyber Security Leader”, orchestrating a cohesive programme to protect Unilever’s manufacturing operations – made up of “work packages” that cover four deliverables: identify, protect, detect and response. | 進化するサイバー脅威の状況に対応するため、ユニリーバは、世界中の工場全体のサイバー防御を強化するための変革プログラムに着手した。このイニシアチブの中心は、強固な「ファクトリー・サイバー・セキュリティ」組織の設立であった。その指揮を執るのは「グローバル・ファクトリー・サイバー・セキュリティ・リーダー」であり、ユニリーバの製造事業者を保護するための一貫したプログラムを指揮し、識別、防御、検知、対応の4つの成果物をカバーする「ワーク・パッケージ」で構成されている。 |
| Complementing this global leadership are eight “Regional Cyber Security Champions” stationed strategically across the globe. These champions serve as linchpins between the global strategy and local execution, fostering a network of resilience spanning over 200 factories. Collaborating closely with these regional champions are local “Factory Cyber Security Champions”, embedded within each facility, ensuring tailored and responsive protection at the grassroots level. For the sake of transparency, the global and regional roles are funded by cyber security, while the local factory roles are funded by each individual factory. | このグローバル・リーダーシップを補完するのが、世界各地に戦略的に配置された8人の「地域サイバーセキュリティ・チャンピオン」である。これらのチャンピオンは、グローバル戦略と各地域での実行をつなぐ役割を果たし、200を超える工場にまたがるレジリエンスのネットワークを育成している。これらの地域チャンピオンと密接に協力するのが、各施設に組み込まれた現地の「工場サイバーセキュリティ・チャンピオン」であり、草の根レベルでのテーラーメイドかつ迅速な防御を保証している。透明性を確保するため、グローバルと地域の役割はサイバーセキュリティから資金提供され、ローカル工場の役割は各工場から資金提供される。 |
| Integral to this framework is the continuous education and training provided by the global and regional champions. Armed with cutting-edge cyber tooling knowledge and a keen eye for identifying and mitigating risks, they empower local champions to proactively defend against emerging threats, thereby fortifying Unilever’s cyber defence posture at every level of operation. | この枠組みに不可欠なのは、グローバル・チャンピオンとリージョナル・チャンピオンが提供する継続的な教育とトレーニングである。最先端のサイバーツールに関する知識とリスクを特定し軽減するための鋭い目を備えた彼らは、現地のチャンピオンに新たな脅威から積極的に防御する力を与え、それによってユニリーバのあらゆるレベルのサイバー防御態勢を強化している。 |
| CASE STUDY 2 Volkswagen Group: Establishing industrial cybersecurity governance from leadership to shop floor | CASE STUDY 2 フォルクスワーゲン・グループ リーダーシップから現場までの産業サイバーセキュリティガバナンスの確立 |
| Industrial cyber security takes care of securing the production process with the equipment and systems used against cyberthreats. Specifications, processes, practices and technologies are used to detect, defend against and deal with cyberattacks and other unwanted activities. This includes the protection of components, networks and data as well as the establishment and compliance with processes and organizational requirements. | 産業用サイバーセキュリティは、サイバー脅威から生産工程を保護するために使用される機器やシステムを管理する。検知、防御、サイバー攻撃やその他の望ましくない活動への対処のために、検知プロセス、実践、技術が使用される。これには、コンポーネント、ネットワーク、データの保護、プロセスや組織要件の確立と遵守が含まれる。 |
| A “group regulation” implemented in 2022 demonstrates Volkswagen’s cybersecurity governance mandate at the corporate level. All brands and locations of the Volkswagen Group are supported by an “Industrial Cyber Security Group Information Security Team” by defining and maintaining information security requirements on the shop floor. The team, consisting of nine people, is giving support by providing advice, ensuring transparency about risks in the group, developing blueprints and solutions for the shop floor and promoting the transfer of knowledge between all stakeholders on information security issues in production. | 2022年に実施された「グループ規則」は、フォルクスワーゲンのサイバーセキュリティガバナンスの権限を企業レベルで示すものである。フォルクスワーゲン・グループのすべてのブランドと拠点は、「インダストリアル・サイバー・セキュリティ・グループ・インフォメーション・セキュリティ・チーム」によってサポートされ、現場の情報セキュリティ要件を定義し、維持している。9人で構成されるこのチームは、アドバイスを提供し、グループ内のリスクに関する透明性を確保し、現場のための青写真と解決策を開発し、生産現場における情報セキュリティの問題に関するすべての利害関係者間の知識の伝達を促進することによって、支援を行っている。 |
| By conducting cybersecurity assessments in various plants all over the world, the maturity level is evaluated, to be continuously improved and reported to the top management in the information technology and production department. The “Production Information Security Officer”, as the person responsible for cybersecurity in each plant, is a key interface to the cybersecurity team. This role is constantly evolving through learning paths and mandates with competencies and responsibilities. | 世界中のさまざまな工場でサイバーセキュリティ評価を実施することにより、成熟度が評価され、継続的に改善され、情報技術・生産部門のトップマネジメントに報告される。生産情報セキュリティ・オフィサー」は、各工場のサイバーセキュリティ責任者として、サイバーセキュリティ・チームとの重要な接点となる。この役割は、コンピテンシーと責任を伴う学習パスと義務化を通じて常に進化している。 |
| CASE STUDY 3 Henkel: Making manufacturing cyber resilience a priority by showcasing cyber risks | CASE STUDY 3 ヘンケル:サイバーリスクを示すことで、製造業のサイバーレジリエンスを優先課題にする |
| Henkel has more than 150 manufacturing sites globally across two business divisions. To improve OT security, it was important to make this a joint priority between supply chain organizations and the cybersecurity team. The cybersecurity risks had to be put into a business context, as well as in the light of staff safety, supply continuity and product quality. | ヘンケルは、2つのディビジョンにまたがる150以上の製造拠点をグローバルに展開している。OT セキュリティを改善するためには、サプライチェーン組織とサイバーセキュリティチームの共同優先事項とすることが重要であった。サイバーセキュリティのリスクは、従業員の安全性、供給の継続性、製品の品質に照らし合わせるだけでなく、ビジネスの文脈に置き換える必要があった。 |
| In addition to general awareness measures, tangible, eyeopening interventions were identified to drive home the significance of OT security: an internal red team31 conducted an actual compromise of a manufacturing site, compromising programmable logic controllers (PLCs), human-machine interfaces (HMIs), etc. – and capturing it on video. | 一般的な意識向上策に加え、OT セキュリティの重要性を再認識させるために、具体的で目を見張るような介入策が特定された。社内のレッドチーム31 が、製造現場で実際に侵害行為を行い、プログラマブル・ロジック・コントローラ(PLC)やヒューマン・マシン・インタフェース(HMI)などを侵害し、その様子をビデオに収めた。・その様子をビデオに収めた。 |
| This exercise made the risks tangible not only for personnel at the manufacturing site but through the video, to counterparts at other sites too. It demonstrated the resulting impact clearly and transparently, not only in abstract risk or cyber terms but tangibly from a supply-chain perspective. | この訓練は、製造事業者だけでなく、ビデオを通じて他の事業者の関係者にもリスクを具体的に示すものであった。その結果、抽象的なリスクやサイバー用語だけでなく、サプライチェーンの観点からも、明確で透明性の高い影響が示された。 |
| CASE STUDY 4 Schneider Electric: Raising cybersecurity awareness for an inclusive cybersecurity culture | CASE STUDY 4 シュナイダーエレクトリック: 包括的なサイバーセキュリティ文化のためにサイバーセキュリティの意識を高める |
| Schneider Electric integrates cybersecurity risk management into its manufacturing digitalization agenda. Committed to implementing cybersecurity controls on all industrial sites, the company has set itself the ambition of making all new manufacturing lines compliant with the IEC 62443 Security Level 2 (SL2). This ambition is set by the supply chain executive team, the effort is monitored and governed, and incentives are put in place to drive the right leadership and employee behaviour to achieve this goal. The elements of this systematic approach include: | シュナイダーエレクトリックは、サイバーセキュリティのリスクマネジメントを製造のデジタル化アジェンダに統合している。シュナイダーエレクトリックは、すべての製造事業所でサイバーセキュリティ管理を実施することを約束し、すべての新しい製造ラインをIEC 62443セキュリティレベル2(SL2)に準拠させるという野望を掲げている。この目標は、サプライチェーンの経営陣によって設定され、取り組みが監視・政府によって管理され、この目標を達成するために適切なリーダーシップと従業員の行動を促進するためのインセンティブが設けられている。この体系的アプローチの要素には以下が含まれる: |
| – Executive support and joint governance from the global cybersecurity and supply chain functions: The cybersecurity objectives are defined by the global CISO and the implementation strategy for those requirements is carried out by global supply chain executives. Having the global CISO and supply chain executives co-lead this effort ensures that the effort is “led from the top” and places cyber security as a business imperative. Together, they secure and prioritize resources for a robust cyber posture and to drive the compliance with IEC 62332 SL2 for new manufacturing lines. | ・グローバルなサイバーセキュリティ部門とサプライチェーン部門による政府支援と共同ガバナンス: サイバーセキュリティの目標はグローバルCISOによって定義され、これらの要件の実施戦略はグローバル・サプライチェーンの幹部によって実行される。グローバル CISO とサプライチェーンのエグゼクティブがこの取り組みを共同で主導することで、この取り組みが「トップ主導」で行われ、サイバーセキュリティがビジネス上の必須事項として位置付けられる。彼らは共に、強固なサイバー態勢を構築し、新規製造ラインのIEC 62332 SL2への準拠を推進するためのリソースを確保し、優先順位を決定する。 |
| – Employee incentives: Employees play a critical role in achieving cybersecurity ambitions, since human errors are often the weakest link. It is important for leadership to encourage the right behaviour among all employees, including those on the manufacturing floor, for whom cybersecurity is not a core responsibility. The executive management team has added cybersecurity targets into the annual performance review of manufacturing employees. Adherence to the defined cybersecurity objectives is therefore tied to the performance of industrial sites in the internal performance management system called the “Schneider Performance System”. | ・従業員のインセンティブ サイバーセキュリティの目標を達成するためには,従業員が重要な役割を果たす。リーダーシップは,サイバーセキュリティが中核的な責任ではない製造現場の従業員を含め,すべての従業員に正しい行動を奨励することが重要である。経営陣は,製造事業者の従業員の年次業績評価にサイバーセキュリティの目標を追加した。そのため,定義されたサイバーセキュリティ目標の遵守は,「シュナイダー・パフォーマンス・システム」と呼ばれる社内業績管理システムにおいて,製造現場の業績と結びつけられている。 |
| CASE STUDY 5 Johnson & Johnson: Cybersecurity culture as a fundamental imperative from shop floor to leadership | CASE STUDY 5 ジョンソン・エンド・ジョンソン 現場からリーダーまで、サイバーセキュリティ文化を基本的な必須事項とする |
| With the digitization of supply chain operations and interconnectivity of IT and OT, Johnson & Johnson realized the need to strengthen cyber resilience in manufacturing by establishing a strong cybersecurity culture. | サプライチェーン・オペレーションのデジタル化とITとOTの相互接続に伴い、ジョンソン・エンド・ジョンソンは、強力なサイバーセキュリティ文化を確立することで、製造事業者のサイバーレジリエンスを強化する必要性に気づいた。 |
| As a large healthcare company with multiple sites globally, Johnson & Johnson has on-the-ground cybersecurity advocates to educate everyone at the site and coordinate site-level actions and responses. Inconsistent or reactive responsibility for security awareness and actions across more than 60 sites is a challenge for the security programme. | ジョンソン・エンド・ジョンソンは、世界各地に複数の拠点を持つ大規模なヘルスケア企業として、現場のサイバーセキュリティ擁護者を配置し、現場の全員を教育し、現場レベルの行動と対応を調整している。60を超える拠点でセキュリティ意識と行動に対する責任が一貫していなかったり、消極的であったりすることは、セキュリティプログラムにとって課題である。 |
| The following are some of the key actions the company took: – | 以下は、同社が実施した主な措置の一部である: - |
| Created a core team of IT and business leadership to lead the effort and define the roles and responsibilities of a “cybersecurity champion”. | IT 部門とビジネス部門のリーダーからなるコアチームを結成し、取り組みを主導するとともに、 「サイバーセキュリティ・チャンピオン」の役割と責任を明確にした。 |
| – Partnered with industry experts to build a plan with change management, training material, website, videos and an OT cybersecurity lab to incubate solutions. | ・業界の専門家と協力し,変更管理,トレーニング教材,ウェブサイト,ビデオ,ソリューションをインキュベートするためのOTサイバーセキュリティ・ラボを含む計画を構築した。 |
| – Connected with “make” and “deliver” leadership to nominate points of contact for each site to establish a network of cybersecurity champions. | ・サイバーセキュリティ・チャンピオンのネットワークを構築するために,「製造」「納入」のリーダーシップと連携し,各拠点の連絡窓口を指名した。 |
| – Successfully mobilized the cybersecurity champions network at each site. | ・各拠点でサイバーセキュリティ・チャンピオンのネットワークを成功裏に動員した。 |
| The cybersecurity champion role has been instrumental as the liaison between site, business teams and cybersecurity. The champions collaborate with the cybersecurity team for risk assessments, remediation actions and any urgent needs to strengthen cybersecurity and resiliency | サイバーセキュリティ・チャンピオンの役割は、サイト、ビジネスチーム、サイバーセキュリティの間の連絡役として役立っている。チャンピオンは、リスクアセスメント、是正措置、サイバーセキュリティとレジリエンスを強化するための緊急ニーズについて、サイバーセキュリティチームと協力する。 |
| 3.2 Drive cyber resilience by design | 3.2 設計によってサイバーレジリエンスを推進する |
| Companies must integrate cyber resilience into every process and system using a risk-based approach to foster a cyber-resilient environment. | 企業は、サイバーレジリエンス環境を醸成するために、リスクベースのアプローチを使用して、 すべてのプロセスとシステムにサイバーレジリエンスを統合する必要がある。 |
| Cyber resilience should be integrated “by design” into every process and system. This means treating cyber resilience as a fundamental requirement in the development of new products, processes, systems and technologies. | サイバーレジリエンスは、すべてのプロセスとシステムに「設計によって」組み込むべきである。これは、新製品、プロセス、システム、および技術の開発において、サイバーレジリエンスを基本要件として扱うことを意味する。 |
| Invest in education and training | 教育とトレーニングに投資する |
| Training should be continuous and ubiquitous. | トレーニングは継続的かつ偏在的に実施すべきである。 |
| Key considerations: | 主な検討事項 |
| – Cultivate a learning culture. Embed cyber resilience in day-to-day behaviour and run year-long cybersecurity campaigns – every employee across every role should be cyberaware. Provide insights and best practices on how leading companies are managing IT and OT convergence. | ・学習文化を醸成する。日々の行動にサイバーレジリエンスを組み込み,年間を通じたサイバーセキュリティキャンペーンを実施する。大手企業が IT と OT の融合をどのように管理しているかについての洞察とベストプラクティスを提供する。 |
| – Tailor education and training. Provide tailored training according to employee groups. Training should be continuous throughout the year and interactive. Leverage emerging technologies to improve the cybersecurity training experience, for example, with immersive experiences. Include and train service providers as part of safety training by providing acceptable user policies when they access or visit critical spaces. | ・教育とトレーニングをカスタマイズする。従業員グループに応じてカスタマイズしたトレーニングをプロバイダで提供する。トレーニングは年間を通じて継続的に行い,双方向性を持たせる。例えば,没入型体験など,サイバーセキュリティ・トレーニングの体験を改善するために新たなテクノロジーを活用する。サービス・プロバイダが重要なスペースにアクセスしたり訪問したりする際の許容ユーザ・ポリシーを提供することにより,安全性トレーニングの一環としてサービス・プロバイダを取り込み,トレーニングする。 |
| – Foster cyber talent development and empowerment. Nurture cyber talent pools, and empower employees with clear accountability and skills to stay updated on emerging threats and mitigation strategies to safeguard the organization against cyberthreats. | ・サイバー人材の育成とエンパワーメントを促進する。サイバー脅威から組織を守るために,サイバー人材プールを育成し,新たな脅威と低減戦略について常に最新情報を得るための明確な説明責任とスキルを従業員に与える。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Are employees at all levels – from the shop floor to the executive level – receiving adequate cyber resilience training? | 製造現場から経営幹部レベルまで、あらゆるレベルの従業員が適切なサイバーレジリエンス研修を受けているか? |
| How can we enhance cyber resilience education and training programmes to stay ahead of threats? | 脅威の一歩先を行くために、サイバーレジリエンスの教育・訓練プログラムをどのように強化できるか? |
| Include cybersecurity in business processes | サイバーセキュリティをビジネスプロセスに組み込む |
| Don’t reinvent the wheel: integrate cybersecurity into the existing business processes to maximize efficiency. | 車輪の再発明ではなく、サイバーセキュリティを既存のビジネスプロセスに統合して効率を最大化する。 |
| Key considerations: | 主な検討事項 |
| – Align and standardize company-wide cybersecurity processes by being mindful of OT and engineering differences. | ・OT とエンジニアリングの違いに留意し,全社的なサイバーセキュリティプロセスを整合させ,標準化する。 |
| – Embed cyber resilience into digital project and product design. Ensure that cybersecurity standards and requirements are part of each digital project and process from the inception phase. This should not be limited to digital products, but all the associated processes such as procurement, legal, and merger and acquisitions. Embed security needs by design, rather than bolting them on, as a key part of every digital project and product. | ・サイバーレジリエンスをデジタルプロジェクトや製品の設計に組み込む。サイバーセキュリティの標準と要件が,各デジタルプロジェクトとプロセスの開始段階から組み込まれるようにする。これは,デジタル製品に限ったことではなく,調達,法務,M&A など,関連するすべてのプロセスにも適用する。すべてのデジタルプロジェクトと製品の重要な部分として,セキュリ ティニーズを後付けするのではなく,設計によって組み込む。 |
| – Learn and reapply from existing quality and safety processes. Both quality and safety must be well-embedded into the manufacturing culture, both by internal employees and external vendors. For example, vendors should receive safety training before entering a plant. They should also be formally informed of the cybersecurity requirements at the plant. | ・既存の品質・安全性プロセスから学び,再適用する。品質と安全性は,社内の従業員と社外のベンダーの両方によって,製造事業者の文化に十分に組み込まれなければならない。例えば,ベンダーは工場に入る前に安全トレーニングを受けるべきである。また,ベンダーは,工場におけるサイバーセキュリティ要件について正式に知らされるべきである。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Are employees at all levels receiving adequate cybersecurity training? | あらゆるレベルの従業員が適切なサイバーセキュリティ・トレーニングを受けているか? |
| How can we enhance cybersecurity education and training programmes? | サイバーセキュリティ教育とトレーニングプログラムをどのように強化できるか? |
| Continuously improve operational assets | 運用資産を継続的に改善する |
| Identify critical processes and design security around business objectives and outcomes. | 重要なプロセスを特定し、ビジネスの目的と成果を中心にセキュリティを設計する。 |
| Key considerations: | 主な検討事項 |
| – Make asset management a priority. Maintaining an up-to-date asset inventory is the foundation for an effective cybersecurity programme. Such inventory helps tracking and managing all hardware and software assets within plants, including critical information assets such as network diagrams and device configurations. | ・資産管理を優先する。最新の資産目録を維持することは,効果的なサイバーセキュリティ・プログラムの基盤である。このようなインベントリは,ネットワーク図やデバイス構成などの重要な情報資産を含め,工場内のすべてのハードウェアおよびソフトウェア資産の追跡と管理に役立つ。 |
| – Adopt a risk-based architecture reference. Implement a defensible architecture for the manufacturing environment, including network segmentation, secure remote access and controls on the network, both directly on endpoints and within cloud environments. | ・リスクベースのアーキテクチャ・リファレンスを採用する。ネットワーク・セグメンテーション,セキュアなリモート・アクセス,エンドポイント上およびクラウド環境内のネットワーク制御など,製造事業者環境向けの防御可能なアーキテクチャを導入する。 |
| – Ensure visibility and monitoring so that threats in the environment are detected quickly and response activities initiated. Ensure risk-based vulnerability management, patching and upgrades. | ・環境内の脅威を迅速に検知し,対応活動を開始できるよう,可視化と監視を確実に行う。リスクベースの脆弱性マネジメント,パッチ適用,アップグレードを確実に行う。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Have we integrated cybersecurity into our critical business processes effectively? | サイバーセキュリティを重要なビジネスプロセスに効果的に組み込んでいるか? |
| What measures can we take to ensure cybersecurity is a fundamental consideration in every process? | サイバーセキュリティがすべてのプロセスにおいて基本的な考慮事項であることを確実にするために、どのような対策を講じることができるか? |
| Prepare to respond to and recover from any cyber incident | あらゆるサイバーインシデントへの対応と回復に備える |
| Prepare the organization to confront any cyber incident through the development of risk-based incident management, response strategy, remediation and recovery plans. | リスクベースのインシデントマネジメント、対応戦略、修復計画、復旧計画を策定し、あらゆるサイバーインシデントに対応できるよう組織を準備する。 |
| Key considerations: | 主な検討事項 |
| – Establish processes for incident management. Develop a risk-based approach and incident playbook(s) that include how to handle incidents in the company’s factories as well as in suppliers, partners and service providers. Organizations should have an industrial control systems-specific incident response plan to respond to incidents in operational environments.32 Establish minimum viable service levels for critical services to customers and partners and design systems to continue delivering through a crisis. | ・インシデント管理のプロセスを確立する。自社の工場だけでなく、サプライヤー、パートナー、サービスプロバイダーにおけるインシデントハンドリングの方法を含む、リスクベースのアプローチとインシデントプレイブックを策定する。組織は、運用環境におけるインシデントに対応するために、産業用制御システムに特化したインシデント対応 計画を策定する必要がある32 。顧客およびパートナーに対する重要なサービスについて、実行可能な最低限のサービ スレベルを確立し、危機を乗り越えて提供し続けるためのシステムを設計する。 |
| – Develop scenario planning. Understand the threat landscape and identify potential threats (including threat events, threat actors, etc.) that could target the IT and OT environments and their potential impacts.33 Share information with the leadership and across the internal organization on the cyberthreats and riskmitigation strategies. Conduct tabletop, red and blue team exercises, to test worst-case scenarios. If the skillset for managing a cybersecurity incident isn’t available in-house, consider proactively establishing a relationship with an external incident response partner. | ・シナリオ計画を策定する。脅威の状況を理解し、IT 及び OT 環境を標的とする可能性のある潜在的な脅威(脅威事象、 脅威行為者などを含む)とその潜在的な影響を特定する33 。サイバー脅威とリスク軽減戦略について、リーダーシップや組織内部全体で情報を共有する。机上演習、レッドチーム演習、ブルーチーム演習を実施し、最悪のシナリオをテストする。サイバーセキュリティ・インシデントを管理するスキルセットが社内にない場合は、外部のインシデント対応パートナーとの関係を積極的に構築することを検討する。 |
| – Prepare plans and checklists. Have a remediation plan to support the timely restoration of normal operations to reduce the effects of cybersecurity incidents.34 Develop a checklist of key ecosystem stakeholders, both internal and external. It should include key personnel, critical partners and law enforcement contacts, as well as vendors, OEMs, legal counsel, public relations contacts, government/ regulators and customers that require notification, along with reporting timelines. | ・計画とチェックリストを作成する。サイバーセキュリティインシデントの影響を軽減するために、通常業務のタイムリーな復旧を支援するための修復計画を策定する34 。エコシステムの主要な利害関係者のチェックリストを作成する。このチェックリストには、重要な要員、重要なパートナー、法執行機関の連絡先だけでなく、ベンダー、OEM、法律顧問、広報連絡先、政府/ガバナンス、および通知を必要とする顧客を、報告スケジュールとともに含める。 |
| Key questions for manufacturing and supply-chain leaders | 製造事業者およびサプライチェーン・リーダーのための主な質問 |
| Do we have a robust incident response plan in place? | 強固なインシデント対応計画があるか? |
| Have we conducted drills or simulations to test our readiness to respond to cyber incidents? | サイバーインシデントへの対応態勢をテストするための訓練やシミュレーションを実施したか? |
| CASE STUDY 6 Unilever: Deploying a comprehensive OT cybersecurity strategy | CASE STUDY 6 ユニリーバ: 包括的なOTサイバーセキュリティ戦略の展開 |
| A “Factory Cyber Security Programme” launched in 2019 encompasses a comprehensive approach to cyber securing operational technology (OT) assets. After engaging factory teams to carefully identify and catalogue all connected OT systems and associated high-level cyber issues, robust network segmentation was implemented, leveraging nextgeneration firewalls, to isolate OT assets from corporate IT infrastructure, ensuring a heightened security posture. | 2019年に開始された「工場サイバーセキュリティプログラム」は、運用技術(OT)資産をサイバーセキュリティで保護する包括的なアプローチを包含している。工場チームを巻き込んで、接続されているすべてのOTシステムと関連する高レベルのサイバー問題を注意深く特定し、カタログ化した後、次世代ファイアウォールを活用して堅牢なネットワーク・セグメンテーションを実施し、OT資産を企業のITインフラから隔離して、高度なセキュリティ態勢を確保した。 |
| To enhance threat detection and response capabilities, endpoint detection and response (EDR) solutions were deployed across all factory environments. This allows for rapid identification and mitigation of potential cyberthreats, bolstering overall resilience. Concurrently, a proactive programme of patching and upgrading OT technology was instituted to eliminate exploitable vulnerabilities, further fortifying defences. | 脅威検知と対応能力を強化するため、エンドポイント検知・対応(EDR)ソリューションがすべての工場環境に導入された。これにより、潜在的なサイバー脅威の迅速な特定と軽減が可能になり、全体的なレジリエンスが強化された。同時に、悪用可能な脆弱性を排除し、防御をさらに強化するために、OT技術にパッチを当て、アップグレードするプロアクティブプログラムが制定された。 |
| To provide ongoing visibility and oversight, each factory now benefits from a dedicated dashboard displaying vulnerability scores and performance metrics. This holistic approach not only ensures the integrity and security of OT assets but also underscores the company’s commitment to proactive cyber defence within its manufacturing ecosystem. | 継続的な可視性と監視を提供するため、各工場は現在、脆弱性スコアとパフォーマンス指標を表示する専用ダッシュボードの恩恵を受けている。この全体的なアプローチは、OT資産の完全性とセキュリティを保証するだけでなく、製造エコシステム内での積極的なサイバー防御に対する同社のコミットメントを強調している。 |
| CASE STUDY 7 Kuwaiti Danish Dairy (KDD): Implementing controlled OT network access to enhance operational reliability | CASE STUDY 7 クウェート・デンマーク・デイリー(KDD): 制御されたOTネットワークアクセスを導入し、運用の信頼性を高める |
| Establishing controlled network access to KDD’s OT environments is crucial for protecting critical infrastructure while ensuring operational continuity and safety. The key challenges that the company has identified include dependency on IT network for user authentication, network broadcast storms and single points of failure. | KDDのOT環境への制御されたネットワーク・アクセスを確立することは、重要なインフラを保護すると同時に、業務の継続性と安全性を確保するために極めて重要である。同社が特定した主な課題には、ユーザー認証におけるITネットワークへの依存、ネットワーク・ブロードキャスト・ストーム、単一障害点などがある。 |
| To address these, network segmentation and access security controls have been implemented, including introduction of a dedicated domain controller for OT network authentication, controlled network segments between IT and OT networks, and site redundancy through storage virtualization. These measures have minimized downtime, increased system availability for operations and allowed OT users to work seamlessly within the OT network. Broadcast storms have been reduced, leading to fewer disruptions and increased productivity. Failure at one data centre does not affect operations due to seamless operation from alternative data centres. | これらに対処するため、OTネットワーク認証のための専用ドメイン・コントローラーの序文、ITネットワークとOTネットワーク間の制御されたネットワーク・セグメント、ストレージ仮想化によるサイトの冗長化など、ネットワーク・セグメンテーションとアクセス・セキュリティ制御が実施されてきた。これらの対策により、ダウンタイムを最小化し、運用のためのシステム可用性を高め、OTユーザーがOTネットワーク内でシームレスに作業できるようになった。ブロードキャスト・ストームが減少したことで、混乱が減り、生産性が向上した。代替データセンターからのシームレスな運用により、1つのデータセンターで障害が発生しても運用に影響はない。 |
| Proactive measures and collaboration have strengthened KDD’s OT systems, prioritizing cyber resilience and improving system availability. Tailored cyber resilience strategies have protected critical infrastructure and enhanced operational reliability | 積極的な対策と連携により、KDDのOTシステムは強化され、サイバーレジリエンスが優先され、システムの可用性が改善された。ニーズに合わせたサイバーレジリエンス戦略により、重要インフラが保護され、運用の信頼性が向上した。 |
| CASE STUDY 8 Siemens: Integrating cyber resilience into product design | CASE STUDY 8 シーメンス: サイバーレジリエンスを製品設計に組み込む |
| With industrial digitalization and the increasing interaction between the IT and OT environments, Siemens saw its products and solutions open to new attack vectors in operational environments, particularly due to a lack of security controls. As a foundation for establishing security controls (authentication, signing, encryption, etc.) in operational environments, | 産業のデジタル化とITとOT環境の相互作用の増大に伴い、シーメンスは、自社の製品とソリューションが、特にセキュリティ管理の不足によって、運用環境における新たな攻撃ベクトルにさらされていると考えた。運用環境におけるセキュリティ管理(本人認証、署名、暗号化など)を確立するための基盤として、シーメンスは、安全なセキュリティ管理のためのインフラを必要としていた、 |
| Siemens needed an infrastructure to securely issue certificates to its production facilities and the products being manufactured. Siemens addressed the need to securely issue certificates to manufactured products with a “product PKI” (public key infrastructure). The Siemens Product PKI provides and manages certificates that are stored on and used by Siemens products and solutions. The certificates might be used in bootstrapping or other operational scenarios for authentication purposes. Or the certificates might be used to prove that a device is a genuine Siemens device. | シーメンスは、製造施設と製造される製品に証明書を安全に発行するためのインフラを必要としていた。シーメンスは、「製品PKI」(公開鍵基盤)により、製造された製品に安全に証明書を発行する必要性に対処した。シーメンス製品PKIは、シーメンス製品やソリューションに保存され、使用される証明書をプロバイダし、管理する。証明書は、ブートストラップやその他の運用シナリオで本人認証のために使用される。あるいは、デバイスがシーメンスの純正デバイスであることを証明するために使用されることもある。 |
| Siemens integrated cybersecurity in product design and manufacturing engineering to foster a cyber resilient environment in its own facilities as well as in the industrial facilities of its customers. | シーメンスは、製品設計と製造エンジニアリングにサイバーセキュリティを統合し、自社施設だけでなく、顧客の産業施設でもサイバーレジリエンス環境を育んでいる。 |
| CASE STUDY 9 Rockwell: Automation Achieving OT security certification for manufacturing facilities | CASE STUDY 9 ロックウェル オートメーション 製造事業者のOTセキュリティ認証を取得 |
| With a mission to secure the connected enterprise for its customers and its own operations, Rockwell took steps to reduce OT technical debt, address outdated technology, remediated high-risk assets and solidified security controls across its manufacturing ecosystems. Rockwell’s ultimate goal was to become a world-class leader in OT cybersecurity by meeting the very extensive 62443-3-3 set of industrial automation and control systems (IACS) security requirements, following the 62443-2-1 processes and controls. Rockwell’s next goal was to help customers achieve the same results for their own plant operations. | ロックウェル社は、顧客と自社のオペレーションのためにコネクテッド・エンタープライズのセキュリティを確保することを使命として、OT技術的負債を削減し、時代遅れの技術に対処し、リスクの高い資産を修復し、製造エコシステム全体のセキュリティ管理を強化するための措置を講じた。ロックウェルの究極の目標は、62443-2-1のプロセスとコントロールに続き、非常に広範な62443-3-3の一連の産業オートメーションおよび制御システム(IACS)セキュリティ要件を満たすことで、OTサイバーセキュリティの世界クラスのリーダーになることだった。ロックウェルの次の目標は、顧客が自社のプラント運用で同じ結果を達成できるよう支援することだった。 |
| Rockwell created a dedicated enterprise OT cybersecurity team focused on securing Rockwell’s manufacturing facilities. After an extensive site analysis, a structured cyber framework was outlined that could continually mature the company’s security posture by following industry standards including IEC 62443. The team achieved the certification goal using their own products, services and partner network and demonstrated to customers that they can help them on their own journey. | ロックウェル社は、ロックウェル社の製造事業者の安全確保に特化したエンタープライズOTサイバーセキュリティ専門チームを創設した。広範なサイト分析の後、IEC 62443を含む業界標準に従って会社のセキュリティ体制を継続的に成熟させることができる構造化されたサイバーフレームワークが概説された。チームは、自社の製品、サービス、パートナー・ネットワークを使用して認証目標を達成し、顧客に対して、自社の旅路を支援できることを実証した。 |
| The creation of Rockwell’s dedicated team and security framework has resulted in a manufacturing programme that instils a continuous improvement culture for maturing cyber security in OT environments resulting in manufacturing that’s resilient, scalable, maintainable, secure and certifiable. | ロックウェルの専門チームとセキュリティフレームワークの構築により、OT環境におけるサイバーセキュリティを成熟させるための継続的改善文化を浸透させる製造事業プログラムが構築され、レジリエンス、拡張性、保守性、安全性、認証可能性を備えた製造が実現した。 |
| CASE STUDY 10 Schneider Electric: Integrating cyber resilience processes | CASE STUDY 10 シュナイダーエレクトリック社:サイバーレジリエンスプロセスの統合 |
| Schneider Electric’s cybersecurity strategy is multifaceted, covering the cybersecurity posture from IT to OT and from product design through installed base security. This strategy includes robust training and education of all its employees, both connected to and on the shop floor. This companywide, end-to-end, risk-informed approach has significant preventative measures (breach readiness) while being able to respond and recover in case of an incident (breach resilience). Schneider Electric achieves these programmatic objectives with: | シュナイダーエレクトリック社のサイバーセキュリティ戦略は多面的であり、ITからOTまで、また製品設計からインストールベースのセキュリティまで、サイバーセキュリティ体制を網羅している。この戦略には、全従業員に対する強固なトレーニングと教育が含まれている。この全社的でエンドツーエンドのリスク情報に基づくアプローチには、重要な予防策(侵害への備え)がある一方で、インシデントが発生した場合に対応し回復する能力(侵害へのレジリエンス)もある。シュナイダーエレクトリックは、これらのプログラム目標を以下の方法で達成している: |
| – Employee training and awareness: The company aims to raise employee cybersecurity awareness, provide relevant training and create a culture to empower employees across both IT and OT to act in a secure manner. The training includes an annual baseline awareness course for all employees and role-based trainings for specialized populations including shop-floor personnel. All training is created with people at the centre and used to support a culture of shared ownership of the cybersecurity posture by all employees. | ・従業員のトレーニングおよび意識向上: 同社は,従業員のサイバーセキュリティ意識を向上させ,適切なトレーニングを提供し,IT と OT の両方の従業員が安全な方法で行動できるような文化を作り上げることを目指している。このトレーニングには,全従業員を対象とした年1回の基本意識向上コースと,現場の従業員など専門的な従業員を対象とした役割ベースのトレーニングが含まれる。すべてのトレーニングは,従業員を中心に作成され,全従業員によるサイバーセキュリティ態勢の共有という文化を支えるために使用される。 |
| – An enterprise risk management (ERM) framework: Using a company-wide cyber risk register to categorize risk, the company translates cybersecurity risks into business and operational scenarios and exposure. This exposure is communicated with the C-suite to drive investments in risk-mitigation initiatives. This framework is aligned with the National Institute of Standards and Technology (NIST) Cybersecurity Framework and increases the company’s overall level of cyber resilience. | ・エンタープライズリスクマネジメント(ERM)のフレームワーク: 全社的なサイバーリスク登録簿を使用してリスクを分類し、サイバーセキュリティリスクをビジネスおよび業務のシナリオとエクスポージャーに変換する。このエクスポージャーは、リスク軽減イニシアティブへの投資を促進するために、C-suite とコミュニケーションされる。このフレームワークは、国立標準技術研究所(NIST)のサイバーセキュリティフレームワークと整合しており、同社の全体的なサイバーレジリエンスレベルを高めている。 |
| – Secure development lifecycle (SDL) management: The SDL journey began over 10 years ago and its mature programme encompasses defined and implemented security requirements, product testing, vulnerability management capabilities and a formal cybersecurity review before release(s). The company’s SDL programme is aligned to IEC 62443-4-1 and externally certified. | ・安全な開発ライフサイクル(SDL)管理: SDL の歩みは 10 年以上前に始まり、その成熟したプログラムには、定義および実装されたセキュリ ティ要件、製品テスト、脆弱性管理機能、リリース前の正式なサイバーセキュリティレビューが含まれる。同社の SDL プログラムは IEC 62443-4-1 に準拠しており、外部認定を受けている。 |
| – Incident response capabilities: Schneider Electric is constantly testing and improving its capacity to respond to operational disruption, damage to customers, compliance issues and theft of intellectual property. Its incident response plans are defined and stress-tested routinely to ensure preparedness. A “Security Operations Center” operates 24x7x365 and is staffed with security analysts leveraging security incident and event management (SIEM) capabilities with OT scenario-based playbooks and responders. | ・インシデント対応能力: シュナイダーエレクトリックは,業務の中断,顧客への損害,コンプライアンス問題,知的財産の盗難に対応する能力を常にテストし,改善している。シュナイダーエレクトリックのインシデント対応計画は,日常的に定義され,ストレステストされ,万全を期している。セキュリティ・オペレーション・センター」は24時間365日稼動しており、OTシナリオベースのプレイブックと対応担当者を備えたセキュリティ・インシデント・イベント管理(SIEM)機能を活用するセキュリティ・アナリストが配置されている。 |
| The combination of these programmes ensures that cybersecurity risk is not an afterthought but part of the manufacturing management system. | これらのプログラムを組み合わせることで、サイバーセキュリティ・リスクが後付けではなく、製造マネジメント・システムの一部となっている。 |
| CASE STUDY 11 Flex: Bolstering operational cyber resilience | CASE STUDY 11 フレックス:オペレーションのサイバーレジリエンスを強化する |
| Meeting the needs of a diverse set of customers can present challenges when balancing cybersecurity measures and demand for zero operational downtime. | 多様な顧客のニーズに対応するためには、サイバーセキュリティ対策と操業停止時間ゼロの要求とのバランスを取ることが課題となる。 |
| Flex, a global, diversified manufacturer, tackled this challenge by developing and introducing a comprehensive technical programme, encompassing redesign of engineering equipment and policies, processes and procedures for cybersecurity mitigation and threat response. | 世界的な多角製造事業者であるFlex社は、エンジニアリング機器の再設計、サイバーセキュリティの低減と脅威への対応に関する方針、プロセス、手順を含む包括的な技術プログラムを開発・導入することで、この課題に取り組んだ。 |
| Piloted at 25 manufacturing facilities, the new programme addresses critical aspects such as micro-segmentation, asset and threat visibility, and response and recovery protocols to help reduce the risk of downtime caused by cyber-attacks. Engineers with expertise in non-cybersecurity domains joined the cybersecurity team, fostering closer collaboration with the operations and design teams. Additionally, Flex’s engagement with OT vendors has helped enhance recovery capabilities, facilitate asset identification and deploy robust threat-monitoring mechanisms. | 25の製造事業所で試験的に導入されたこの新しいプログラムは、マイクロセグメンテーション、資産と脅威の可視化、レスポンスとリカバリーのプロトコルといった重要な側面に取り組み、サイバー攻撃によるダウンタイムのリスクを軽減するのに役立っている。サイバーセキュリティ以外の分野の専門知識を持つエンジニアがサイバーセキュリティ・チームに加わり、運用チームや設計チームとの緊密な連携が促進された。さらに、フレックスがOTベンダーと協力することで、復旧能力の強化、資産識別の促進、強固な脅威監視メカニズムの導入が実現した。 |
| Through this programme, Flex continues to align cybersecurity awareness and safety with the specific needs of engineering teams, helping to mitigate risks and bolster operational resilience. This collaborative approach enables rapid, swift threat detection and response, reducing manufacturing and design operation interruptions and enhancing engineering asset security. | フレックスはこのプログラムを通じて、サイバーセキュリティの意識と安全性をエンジニアリング・チームの具体的なニーズと一致させ、リスクの軽減とオペレーションのレジリエンスの強化を支援し続けている。この協力的なアプローチにより、迅速で迅速な脅威の検知と対応が可能になり、製造と設計業務の中断を減らし、エンジニアリング資産のセキュリティを強化することができる。 |
| CASE STUDY 12 Engro Corporation: Securing OT-IT convergence against cyberthreats | CASE STUDY 12 エングロ・コーポレーション OT-ITコンバージェンスをサイバー脅威から守る |
| In pursuit of excellence in its digital transformation, Engro faced the challenge of securing its OT-IT convergence where the potential interconnection of isolated plant systems with the outside world poses vulnerability to cyberattacks capable of disrupting production. | デジタルトランスフォーメーションの卓越性を追求する中で、エングロ社は、OT-ITコンバージェンスの安全確保という課題に直面した。そこでは、孤立したプラントシステムが外部と相互接続する可能性があるため、生産を中断させる可能性のあるサイバー攻撃に対する脆弱性が生じる。 |
| Engro institutionalized cyber governance by adopting global frameworks such as IEC62443, ISO27001 and NIST; conducted comprehensive consultant-led risk assessments of infrastructure; developed a three-tier strategy to improve cyber resilience; and cascaded these in the enterprise risk register for board-level visibility. Further, it reinforced the “Human Firewall” concept into the organizational culture by frequent cyber awareness campaigns and phishing simulations, and partnered with ISA (International Society for Automation) for human skill development. Active engagement from the shop floor to top management led to the development of comprehensive OT security policies to integrate cyber resilience in the organization’s DNA, promising “security-by-design” in the production life cycle. Ongoing integration of its IT and OT security operation centres will further enhance threat detection, investigation and incident response. | Engro社は、IEC62443、ISO27001、NISTなどのグローバルフレームワークを採用することによってサイバーガバナンスを制度化し、コンサルタント主導によるインフラの包括的なリスクアセスメントを実施し、サイバーレジリエンスを改善するための3層戦略を策定し、取締役会レベルで可視化できるようにエンタープライズリスクレジストリにこれらを連鎖させた。さらに、サイバー意識向上キャンペーンやフィッシング・シミュレーションを頻繁に実施することで、「ヒューマン・ファイアウォール」のコンセプトを組織文化に根付かせ、ISA(国際オートメーション学会)と提携し、ヒューマン・スキルの向上を図った。現場からトップマネジメントまでが積極的に関与することで、包括的なOTセキュリティポリシーが策定され、組織のDNAにサイバーレジリエンスが統合され、生産ライフサイクルにおける「セキュリティ・バイ・デザイン」が約束された。ITとOTのセキュリティ・オペレーション・センターの継続的な統合により、脅威の検知、調査、インシデント対応がさらに強化される。 |
| By implementing these measures, Engro has embarked on the journey of creating a secure digital environment for its people, process and products to boost the confidence of stakeholders to launch and further transform their business services while maintaining cyber resilience. | これらの対策を実施することで、Engro は人材、プロセス、製品のための安全なデジタル環境を構築する旅に乗り出し、サイバーレジリエンスを維持しながら、ビジネスサービスを立ち上げ、さらに変革していくためのステークホルダーの信頼を高めている。 |
| 3.3 Engage and manage the ecosystem | 3.3 エコシステムへの関与と管理 |
| Manufacturing organizations need to shift from supply-chain to ecosystem security to manage the systemic and cascading risks. | 製造事業者は、サプライチェーンセキュリティからエコシステムセキュリティに移行して、システミックリスクと連鎖的リスクを管理する必要がある。 |
| The manufacturing ecosystem is composed of a variety of stakeholders including raw material and packaging suppliers, production facilities, assembly lines, service providers, original equipment manufacturers (OEMs), vendors, logistics and transportation suppliers, information sharing and analysis centres (ISACs) and regulatory authorities. In the ecosystem, manufacturers are both suppliers and providers of products and/or components. Manufacturing organizations need to establish trusted partnerships by raising security awareness and security posture across the ecosystem. | 製造エコシステムは、原材料や包装のサプライヤー、生産施設、組立ライン、サービスプロバイダー、相手先商標製品製造業者(OEM)、ベンダー、物流・輸送サプライヤー、情報共有・分析センター(ISAC)、規制当局など、さまざまな利害関係者で構成されている。エコシステムにおいて、製造事業者は製品および/またはコンポーネントのサプライヤーであると同時にプロバイダでもある。製造事業者は、エコシステム全体のセキュリティ意識とセキュリティ態勢を高めることによって、信頼できるパートナーシップを確立する必要がある。 |
| FIGURE 8 Engaging ecosystem stakeholders holistically | 図 8 エコシステムの利害関係者を全体的に巻き込む |
| Identify key stakeholders | 主要な利害関係者を識別する |
| Identifying critical ecosystem members, pinpointing dependencies and assessing systemic risks from shared suppliers is essential. | エコシステムの重要な構成員を識別し、依存関係を特定し、共有サプライヤからのシステミックリスクをアセスメントすることが不可欠である。 |
| Key considerations: | 主な検討事項 |
| – Include the critical members of the ecosystem in cybersecurity risk assessments, and identify dependencies and systemic risks from common suppliers and vendors. Take advantage of threat information-sharing via ISAC communities. | ・エコシステムの重要なメンバーをサイバーセキュリティリスクアセスメントに参加させ,共通のサプライヤやベンダーからの依存関係やシステミックリスクを特定する。ISAC コミュニティを通じた脅威情報の共有を活用する。 |
| – Prioritize suppliers by identifying the most critical and most vulnerable. This entails recognizing vendors that present a cybersecurity threat to manufacturing operations, as well as identifying critical suppliers whose operations could jeopardize production in the event of a cyberattack | ・最も重要で脆弱性の高いサプライヤを特定し,優先順位を付ける。これには,製造事業者にとってサイバーセキュリティ上の脅威となるベンダーを認識することと,サイバー攻撃が発生した場合に生産が危険にさらされる可能性のある重要なサプライヤーを特定することが含まれる。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーにとっての主な質問 |
| Have we identified all stakeholders within our ecosystem? | エコシステム内のすべての利害関係者を識別できているか? |
| Do we understand the dependencies and interconnections among these stakeholders? | これらの利害関係者間の依存関係や相互関係を理解しているか? |
| Align on cybersecurity baselines | サイバーセキュリティ・ベースラインで連携する |
| Defining risk-based security profiles and integrating cybersecurity baselines for suppliers is a crucial step to ensure a comprehensive cyber resilience across the ecosystem. | リスクベースのセキュリティプロファイルを定義し、サプライヤのサイバーセキュリティベースラインを統合することは、エコシステム全体で包括的なサイバーレジリエンスを確保するために極めて重要なステップである。 |
| Key considerations: | 主な検討事項 |
| – Tier suppliers. Define risk-based security profiles and requirements based on the criticality of suppliers and vendors. Ensure executive support for ecosystem risk-management activities. | ・ティアサプライヤ。サプライヤーとベンダーの重要性に基づいて,リスクベースのセキュリティプロファイルと要件を定義する。エコシステムのリスクマネジメント活動に対する経営幹部の支援を確保する。 |
| – Integrate cybersecurity baselines. Establish processes to limit financial and reputational damage by embedding cybersecurity controls in third-party contracts, and make cybersecurity standards and best practices contractually enforceable on partners and vendors.35 | ・サイバーセキュリティのベースラインを統合する。サードパーティとの契約にサイバーセキュリティ管理策を組み込むことで,財務的・風評的な損害を抑制するプロセスを確立し,サイバーセキュリティ標準とベストプラクティスをパートナーやベンダーに対して契約により強制できるようにする35。 |
| – Build trusted partnerships and ensure continuous dialogues with suppliers across the ecosystem. With the increased reliance on third-party products and software, collaboration ahead of integration and operation of products helps raise security awareness, alignment and security baselines. | ・信頼できるパートナーシップを構築し,エコシステム全体のサプライヤと継続的に対話する。サードパーティ製 品やソフトウエアへの依存度が高まる中,製品の統合や運用に先行して協力関係を構築することで,セキュリ ティに対する意識,連携,セキュリティの基本水準を高めることができる。 |
| Key questions for manufacturing and supply-chain leaders | 製造事業者とサプライチェーンのリーダーに対する主な質問 |
| Have we defined minimum cybersecurity standards for our ecosystem partners? | エコシステム・パートナーに対するサイバーセキュリティの最低標準を定めているか? |
| How can we ensure that these standards are consistently enforced? | これらの標準が一貫して実施されるようにするにはどうすればよいか。 |
| Ensure consistent oversight | 一貫した監視を確保する |
| Organizations must ensure consistent monitoring of ecosystem vulnerabilities, conduct periodic reviews of processes and consistently apply regular patches and updates. | 組織は、エコシステムの脆弱性を一貫して監視し、プロセスの定期的なレビューを実施し、定期的なパッチとアップデートを一貫して適用しなければならない。 |
| Key considerations: | 主な検討事項 |
| – Ensure audit compliance. Enforce controls for vendor access to manufacturing, including secure remote access and policies for how vendors and service providers access manufacturing network and transfer files. | ・監査コンプライアンスを確保する。セキュアなリモートアクセス,ベンダーやサービスプロバイダが製造ネットワークにアクセスし,ファイルを転送する方法に関するポリシーなど,ベンダーの製造へのアクセスに関する管理を実施する。 |
| – Monitor the ecosystem regularly. With the rapid evolution of cyberthreats, it is important to monitor vulnerabilities internally and externally. While existing and globally recognized industry and cybersecurity certifications are great gatekeepers for the initial and yearly due diligence, it is key to keep open a continuous communication and review channel with critical stakeholders. | ・エコシステムを定期的に監視する。サイバー脅威の急速な進化に伴い,社内外の脆弱性を監視することが重要である。世界的に認知されている既存の業界認証やサイバーセキュリティ認証は,初回および毎年のデューデリジェンスにおいて優れたゲートキーパーとなるが,重要な利害関係者との継続的なコミュニケーションとレビューのチャネルを開いておくことが重要である。 |
| – Review and update. Ensure regular patching is aligned with the partner organizations in the supply chain. Continuously review processes and updates and implement a change management process. | ・レビューと更新を行う。定期的なパッチ適用がサプライチェーンのパートナー組織と整合していることを確認する。プロセスと更新を継続的に見直し,変更管理プロセスを導入する。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Are we regularly monitoring and assessing cybersecurity risks within our ecosystem? | エコシステム内のサイバーセキュリティリスクを定期的に監視・評価しているか? |
| How can we improve our oversight mechanisms to better detect and respond to emerging threats? | 新たな脅威をより的確に検知し対応するために、監視体制をどのように改善できるか? |
| Keep learning | 学習を続ける |
| Continuous learning is paramount for staying ahead of evolving cyberthreats and leveraging a cyber resilience culture. | 進化するサイバー脅威を先取りし、サイバーレジリエンス文化を活用するためには、継続的な学習が最も重要である。 |
| Key considerations: | 主な検討事項 |
| – Cultivate a robust learning culture, where the exploration of emerging threats and the analysis of past mistakes are not only encouraged but embraced. Foster an environment where openness and transparency are valued so that organizations can proactively address vulnerabilities and strengthen their cyber resilience capabilities. | ・新たな脅威の調査や過去の失敗の分析が奨励されるだけでなく,それが受け入れられるような,しっかりとした学習文化を醸成する。組織が脆弱性に積極的に対処し,サイバーレジリエンス能力を強化できるように,オープンで透明性が重んじ られる環境を醸成する。 |
| – Establish an ecosystem-wide culture. Promoting collaboration and knowledge-sharing among cyber talents from various functions – for instance between IT and OT experts – enables individuals to glean insights from diverse perspectives and experiences, enriching their understanding of cybersecurity challenges and solutions. | ・エコシステム全体の文化を確立する。さまざまな機能(例えば、IT と OT の専門家など)のサイバー人材間のコラボレーションと知識の共有を促進することで、 個人が多様な視点や経験から洞察を得ることができ、サイバーセキュリティの課題と解決策に対する理解が深まる。 |
| Key questions for manufacturing and supply-chain leaders | 製造およびサプライチェーンのリーダーに対する主な質問 |
| Are we fostering a culture of continuous learning and knowledge-sharing around cybersecurity? | サイバーセキュリティに関して継続的に学習し、知識を共有する文化を醸成しているか。 |
| What steps can we take to empower employees to stay updated on the latest cyberthreats and mitigation strategies? | 従業員が最新のサイバー脅威と低減戦略を常に把握できるようにするには、どのような対策を講じればよいか。 |
| CASE STUDY 13 Schneider Electric: Partnering with the ecosystem to build a more resilient security posture | CASE STUDY 13 シュナイダーエレクトリック: エコシステムと連携し、よりレジリエンスに優れたセキュリティ体制を構築する |
| An ecosystem of stakeholder includes customers, suppliers, cross-industry organizations, authorities and national agencies. While all stakeholders are important and intertwined, recently, a focus on collaborating in the areas of supply chain and installed base security represented a unique and impactful output for Schneider Electric. | ステークホルダーのエコシステムには、顧客、サプライヤー、異業種組織、認可機関、国家機関が含まれる。すべての利害関係者は重要であり、相互に絡み合っているが、最近では、サプライチェーンとインストールベースのセキュリティ分野での協力に焦点を当てたことが、シュナイダーエレクトリック社にとってユニークでインパクトのある成果であった。 |
| The company’s supply-chain security programme addresses risks stemming from third-party suppliers, by building a holistic approach to value-chain security by implementing security controls at every level (R&D, design, manufacturing, distribution, staging, commissioning and operations). To achieve this objective, Schneider Electric takes both internal and external measures through policies and guidelines as well as external checks with audit and scoring agencies. Going beyond the internal posture by discussing with customers and authorities, it initiates shared responsibility and strives to adopt a common cyber posture. | シュナイダーエレクトリックのサプライチェーン・セキュリティ・プログラムは、あらゆるレベル(研究開発、設計、製造、流通、ステージング、試運転、運用)でセキュリティ管理を実施することにより、バリューチェーン・セキュリティへの全体的なアプローチを構築することで、サードパーティ・サプライヤーに起因するリスクに対処している。この目的を達成するために、シュナイダーエレクトリックは、ポリシーやガイドライン、監査や採点機関による外部チェックを通じて、内部と外部の両方の対策を講じている。シュナイダーエレクトリックは,顧客や認可機関と議論することによって内部的な態勢を超え,共有責任を開始し,共通のサイバー態勢を採用するよう努力している。 |
| Schneider Electric launched its installed base security initiative in order to reduce OT exposure risks in the customer’s environment by chasing down outstanding vulnerabilities. The resulting OT threat intelligence capability provides its customers with visibility to enriched, contextualized and actionable exposure information to better secure their installations. This effort helps to foster trust with stakeholders within the ecosystem, sharing information in a manner that improves security along the value chain. | シュナイダーエレクトリックは、未解決の脆弱性を追求することによって、顧客環境におけるOTエクスポージャーのリスクを低減するために、インストールベースのセキュリティイニシアチブを開始した。その結果、OT脅威インテリジェンス機能により、顧客は充実した、文脈化された、実行可能なエクスポージャー情報を可視化できるようになり、設備の安全性を高めることができる。この取り組みにより、エコシステム内の利害関係者との信頼関係が醸成され、バリューチェーンに沿ったセキュリティが改善される形で情報が共有される。 |
| CASE STUDY 14 Siemens: Establishing a supply-chain partner ecosystem | CASE STUDY 14 シーメンス: サプライチェーン・パートナーのエコシステムを構築する |
| Around 2020, Siemens recognized the escalating threat of cybersecurity attacks on corporate supply chains and observed a rising frequency, severity and sophistication of attacks in its supply chain. It was obvious that no single player would be able to establish broader supply-chain security standards. On the contrary, collaboration and partnering were necessary. | 2020年頃、シーメンスは企業のサプライチェーンに対するサイバーセキュリティ攻撃の脅威が高まっていることを認識し、サプライチェーンにおける攻撃の頻度、深刻さ、巧妙さが増していることを観察した。サプライチェーンのセキュリティ標準を一社で確立することは不可能であることは明らかだった。それどころか、協力と提携が必要だった。 |
| Siemens embarked on a proactive journey to fortify its global cybersecurity posture by following the third principle of the “Charter of Trust”: manage the ecosystem. Founded in 2018 at the Munich Security Conference, the Charter of Trust (CoT) was initiated by Siemens to join forces with partner companies safeguarding society and businesses against the increasing exposure to malicious cyberattacks. Together with CoT partners and service providers such as TÜV SÜD, OneTrust and Panorays, Siemens tested various approaches to ensure adherence to a set of baseline requirements for supply-chain security. | シーメンスは、「信頼憲章」の第3原則である「エコシステムの管理」に従い、グローバルなサイバーセキュリティ体制を強化するための積極的な旅に出た。2018年にミュンヘン・セキュリティ会議で設立された「信頼の憲章(CoT)」は、悪質なサイバー攻撃へのエクスポージャーの増大から社会と企業を守るパートナー企業と力を合わせるためにシーメンスが始めたものだ。シーメンスは、CoTパートナーやテュフズード、OneTrust、Panoraysなどのサービスプロバイダーとともに、サプライチェーンセキュリティの基本要件への準拠を確実にするためのさまざまなアプローチをテストした。 |
| After a global announcement, more partners joined the test phase from November 2021. This initiative identified external service providers and laid the groundwork for enhanced transparency and scalability within Siemens’ supply chain. Challenges in stakeholder identification and in convincing providers to tailor solutions were overcome with a gradual approach, starting with pilot assessments. | 世界的な発表の後、2021年11月からさらに多くのパートナーがテスト段階に加わった。この取り組みにより、外部のサービスプロバイダーが特定され、シーメンスのサプライチェーンにおける透明性と拡張性の強化に向けた基礎が築かれた。利害関係者の特定やプロバイダを説得してソリューションを調整する際の課題は、試験的な評価から始める段階的なアプローチによって克服された。 |
| The key takeaway emphasizes the pivotal role of partnering with an extended partner ecosystem for ensuring sustained success in cybersecurity resilience across the supply chain. | 重要な教訓は、サプライチェーン全体でサイバーセキュリティのレジリエンスを持続的に成功させるためには、広範なパートナーエコシステムとの提携が極めて重要な役割を果たすことを強調している。 |
| CASE STUDY 15 Arçelik: Balancing security with operational efficiency | CASE STUDY 15 Arçelik: セキュリティと業務効率のバランスを取る |
| Providing remote access to suppliers in a manufacturing environment can be challenging due to the presence of multiple vendors and the diverse operational landscape. Ensuring that security solutions do not disrupt daily operations or production further adds to the challenge. | 製造事業者がサプライヤーにリモートアクセスをプロバイダとして提供することは、複数のベンダーが存在し、業務環境が多様であるため、困難な場合がある。セキュリティ・ソリューションが日常業務や生産に支障をきたさないようにすることが、この課題をさらに大きくしている。 |
| Arçelik implemented a new method for secure third-party remote access. This method uses a single file that eliminates the need for additional VPN (virtual private network) connections or organizational user accounts, which enhances operational efficiency. Each unique file is created with onetime access authorization and can be shared through a file-sharing channel. This solution offers several security benefits. It allows Arçelik to record remote access logs, which provides a clear record of activity. Additionally, it restricts manoeuvres that could escalate privileges, further protecting the system. Overall, this approach prevents security problems that can arise from traditional third-party remote access applications used for stakeholders’ remote access. | Arçelik社は、セキュアなサードパーティ・リモート・アクセスのための新しい方法を導入した。この方法では、単一のファイルを使用するため、VPN(仮想プライベート・ネットワーク)接続や組織のユーザー・アカウントを追加する必要がなく、業務効率が向上する。それぞれのユニークなファイルは、一度限りのアクセス認可で作成され、ファイル共有チャネルを通じて共有することができる。このソリューションにはいくつかのセキュリティ上の利点がある。Arçelikはリモート・アクセス・ログを記録することができ、アクティビティの明確な記録を提供できる。さらに、特権をエスカレートさせる可能性のある操作を制限し、システムをさらに保護する。全体として、このアプローチは、関係者のリモート・アクセスに使用される従来のサードパーティ製リモート・アクセス・アプリケーションから発生する可能性のあるセキュリティ問題を防止している。 |
| Arçelik took a proactive step towards securing supplier access across its 22 factories while prioritizing production continuity. More than 50 third-party remote access applications out of 58 have been blocked from the Arcelik environment that has more than 25,000 devices. | Arçelik社は、生産継続性を優先しつつ、22の工場におけるサプライヤー・アクセスの安全確保に向けて積極的な一歩を踏み出した。25,000台以上のデバイスを持つアルセリックの環境から、58のサードパーティ製リモート・アクセス・アプリケーションのうち50以上がブロックされた。 |
| CASE STUDY 16 Dragos and Rockwell Automation: Evaluating supply-chain cybersecurity measures | CASE STUDY 16 ドラゴスとロックウェル・オートメーション: サプライチェーンのサイバーセキュリティ対策を評価する |
| Dragos observed 50 ransomware groups impacting industrial organizations in 2023 (up 28% in 2022) and 905 ransomware incidents impacting industrial organizations (a 49.5% increase). Manufacturing was impacted the most, in 71% of ransomware incidents. Trend Micro’s “What DecisionMakers Need to Know About Ransomware Risk” found 69% of ransomware attacks by the cybercriminal group Conti and 80% by the threat actor Lockbit impacted organizations with under 500 employees. | Dragosは、2023年に産業組織に影響を与えたランサムウェアグループは50件(2022年の28%増)、産業組織に影響を与えたランサムウェアインシデントは905件(49.5%増)を観測した。最も影響を受けたのは製造事業者で、ランサムウェアインシデントの71%を占めた。トレンドマイクロの「ランサムウェアのリスクについて意思決定者が知っておくべきこと」によると、サイバー犯罪グループ「Conti」によるランサムウェア攻撃の69%、脅威行為者「Lockbit」によるランサムウェア攻撃の80%が、従業員500人未満の組織に影響を与えている。 |
| Ransomware risk is high for small and medium manufacturing organizations. This impacts customers: multiple large manufacturers shut down plants when a critical supplier is hit with ransomware. | ランサムウェアのリスクは中小製造業にとって高い。これは顧客にも影響する。重要なサプライヤーがランサムウェアに襲われると、複数の大手メーカーが工場を閉鎖する。 |
| After multiple small and medium suppliers informed Rockwell Automation they were impacted by ransomware and couldn’t deliver products for at least a month, Rockwell launched a new initiative. They assessed cybersecurity in their top 50 critical suppliers, finding small suppliers had little cybersecurity and medium suppliers had some in IT but not OT. They started a multi-year initiative to educate suppliers on cybersecurity and made cybersecurity contractually required. They are extending this initiative to OT cybersecurity using free resources from Dragos OT-CERT. | 複数の中小サプライヤーがロックウェル・オートメーションにランサムウェアの影響を受け、少なくとも1カ月は製品を納入できないと連絡した後、ロックウェルは新たな取り組みを開始した。重要なサプライヤー上位50社のサイバーセキュリティを評価したところ、小規模なサプライヤーはサイバーセキュリティがほとんどなく、中規模なサプライヤーはITでは多少あったがOTはなかった。サイバーセキュリティについてサプライヤーを教育するための複数年にわたるイニシアチブを開始し、サイバーセキュリティを契約上必須とした。同社は、Dragos OT-CERTの無料リソースを使用して、このイニシアチブをOTサイバーセキュリティに拡張している。 |
| The result has been a dramatic improvement in Rockwell’s end to end supply-chain operations resiliency, customer protection, delivery times, company revenue and reputation. Significant improvement in cyber culture and awareness of the need to protect digital systems with proper security hygiene is a new standard for Rockwell suppliers and is now part of doing business with the company | その結果、ロックウェル社のエンド・ツー・エンドのサプライチェーン業務のレジリエンス、顧客保護、納期、会社の収益、評判が劇的に改善された。サイバー文化の大幅な改善と、適切なセキュリティ衛生管理でデジタルシステムを保護する必要性に対する意識は、ロックウェルのサプライヤーにとって新たな標準となり、今では同社との取引の一部となっている。 |
| CASE STUDY 17 Volkswagen Group: Leveraging cybersecurity requirements for production | CASE STUDY 17 フォルクスワーゲン・グループ: サイバーセキュリティ要件を生産に活かす |
| In the realm of industrial cybersecurity, Volkswagen Group’s industrial control systems and production planning departments have jointly developed two applicable documents (also knowns as MgUs – mitgeltende Unterlagen), outlining cybersecurity requirements for suppliers in procurement and production phases. | 産業用サイバーセキュリティの領域において、フォルクスワーゲン・グループの産業用制御システム部門と生産計画部門は、調達と生産段階におけるサプライヤのサイバーセキュリティ要件をまとめた2つの適用文書(MgUs ・mitgeltende Unterlagenとしても知られる)を共同で作成した。 |
| – The first document focuses on IT security requirements for systems and components within production environments. It defines essential standards on information and IT security for the release of components and systems. | ・最初の文書は,生産環境におけるシステムとコンポーネントのITセキュリティ要件に焦点を当てている。この文書では,コンポーネントやシステムのリリースに必要な情報とITセキュリティに関する標準を定義している。 |
| – The second document addresses IT security within production plants, delineating requirements for information security during the procurement and integration of new manufacturing plants, machinery and related infrastructure, including necessary tools like IT equipment. | ・2つ目の文書は、製造事業者におけるITセキュリティに焦点を当て、IT機器のような必要なツールを含む、新しい製造工場、機械、関連インフラストラクチャの調達と統合における情報セキュリティの要件を定義している。 |
| Compliance with both documents is mandatory and the requirements are also enshrined in Volkswagen’s industrial cybersecurity guidelines, which stipulate that Volkswagen’s information security requirements must be adhered to during planning and construction phases of plants and systems as well as during component selection and procurement. | 両文書の遵守は必須であり、要件はフォルクスワーゲンの産業サイバーセキュリティガイドラインにも明記されている。同ガイドラインでは、フォルクスワーゲンの情報セキュリティ要件は、プラントやシステムの計画・建設段階、およびコンポーネントの選定・調達段階においても遵守しなければならないと規定している。 |
| These requirements are aligned with current IT security best practices, and manufacturers are required to incorporate IT security considerations into their development processes. | これらの要件は、現在のITセキュリティのベストプラクティスに沿ったものであり、製造事業者はITセキュリティへの配慮を開発プロセスに組み込むことが求められている。 |
| Conclusion | 結論 |
| As digitalization opens avenues to enhance efficiency, productivity and competitiveness, it becomes increasingly crucial for the manufacturing sector to prioritize the development of a robust cyber resilience culture. This is essential to effectively navigate the growing landscape of cyberthreats. | デジタル化によって効率性、生産性、競争力を強化する道が開かれる中、製造業にとって、強固なサイバーレジリエンス文化の発展を優先することがますます重要になっている。これは、増大するサイバー脅威の状況を効果的に乗り切るために不可欠である。 |
| A holistic cyber resilience culture enables manufacturers to maintain consistent and resilient operations, effectively addressing digital challenges while ensuring business efficiency. Integrating cyber resilience into business strategies is fundamental to enable manufacturing organizations to fully leverage the transformative potential of digitalization and innovation. | 総合的なサイバーレジリエンス文化によって、製造事業者は一貫性のあるレジリエンス業務を維持することができ、事業効率を確保しながら、デジタル上の課題に効果的に対処することができる。サイバーレジリエンスを事業戦略に組み込むことは、製造業組織がデジタル化とイノベーションによる変革の可能性を十分に活用できるようにするための基本である。 |
| To successfully establish and maintain a cyber resilience culture in the manufacturing sector, continuous collaborative efforts across all stakeholders are imperative. The World Economic Forum’s Centre for Cybersecurity and Centre for Advanced Manufacturing and Supply Chains will continue their shared efforts to engage leaders across industry sectors as well as governments, academia and civil society to raise awareness and incorporate these principles into their overall strategies. Towards that end, the Forum endeavours to share the cyber resilience principles and encourage their adoption in multiple ways, such as through the Global Lighthouse Network.36 | 製造業におけるサイバーレジリエンス文化の確立と維持を成功させるためには、すべての利害関係者の継続的な協力努力が不可欠である。世界経済フォーラムのサイバーセキュリティ・センターと先進製造業・サプライチェーン・センターは、各業界のリーダーだけでなく、政府、学界、市民社会を巻き込み、認識を高め、これらの原則を全体的な戦略に取り入れるための共同の努力を続けていく。この目的に向けて、当フォーラムは、グローバル・ライトハウス・ネットワークなどを通じて、サイバーレジリエンス原則を共有し、その採用を促進するよう努める36。 |
| In addition, the Forum is working in a crossindustry effort to solve complex and systemic cyber resilience challenges for industries including the critical group of small and medium enterprises.37 As the human factor is critical for cultural change and with 52% of organizations lacking the right resources, the Forum is developing actions to bridge this cyber skills gap.38 | さらに、当フォーラムは、重要なグループである中小企業を含む業界の複雑かつ体系的なサイバーレジリエンス の課題を解決するために、業界横断的な取り組みを行っている37 。文化的な変革には人的要因が重要であり、52% の組織が適切なリソースを欠いていることから、当フォーラムは、このサイバースキ ルギャップを埋めるための行動を展開している38 。 |
| Recognizing the complexity and scale of integrating cyber resilience across the manufacturing ecosystem, this playbook offers guidance to understand the impact of cyber risk on manufacturing and work together to drive a successful cyber resilience culture in manufacturing. | 製造業のエコシステム全体でサイバーレジリエンスを統合することの複雑さと規模を認識した上で、このプレイブックは、製造業におけるサイバーリスクの影響を理解し、製造業におけるサイバーレジリエンス文化を成功に導くために協力するためのガイダンスを提供する。 |
| Methodology | 方法論 |
| For this paper, the World Economic Forum gathered insights from three sources all through 2023 and 2024. These included: | 本書のために、世界経済フォーラムは、2023 年と 2024 年を通じて 3 つの情報源から洞察を収集した。これらには以下が含まれる: |
| – Regular community workshops: 10 virtual and one in-person roundtable gathered more than 30 members to discuss, align and collect insights to define the guiding principles to build a culture of cyber resilience in manufacturing. | ・定期的なコミュニティ・ワークショップ: 製造事業者におけるサイバー・レジリエンス文化を構築するための指針を定義するために、30 人以上のメンバーが集まり、議論、調整、洞察の収集を行った。 |
| – Bilateral consultations with community members and sector leaders were also conducted to gain further insight into the challenges and opportunities. | ・また,コミュニティメンバーやセクターリーダーとの二者協議も実施し,課題と機会に関するさらなる洞察を得た。 |
| – Insight gathering survey: The survey was conducted between December 2023 and February 2024 to collect insights on cyber resilience in manufacturing. The survey gathered more than 100 responses from cyber leaders and business executives from manufacturing organizations on: the industry, organization size and location, cybersecurity reporting line, cyberthreats, cyber incident impact and challenges. The data collected is anonymous and not attributable to any single person or entity. | ・洞察の収集調査 製造業におけるサイバーレジリエンスに関する知見を収集するため、2023 年 12 月から 2024 年 2 月にかけて調査を実施した。この調査では、製造業組織のサイバーリーダーやビジネスエグゼクティブから、業種、組織規模と所在地、サイバーセキュリティ報告ライン、サイバー脅威、サイバーインシデントによる影響と課題について100以上の回答を集めた。収集されたデータは匿名であり、特定の個人や事業体に帰属するものではない。 |
| All the discussions were held under Chatham House rules; consequently, no information in this report is attributed to a specific member. | すべてのディスカッションはチャタムハウスのルールの下で行われた。そのため、本レポートのいかなる情報も特定のメンバーに帰属するものではない。 |
- (2024). 2024 Manufacturing Industry Outlook. https://www2.deloitte.com/us/en/insights/industry/manufacturing/ manufacturing-industry-outlook.html
- World Economic Forum. (2024). Global Cybersecurity Outlook 2024. https://www.weforum.org/publications/globalcybersecurity-outlook-2024/.
- (2024). IBM X-Force Threat Intelligence Index 2024. IBM Security X-Force Threat Intelligence Index 2024.
- (2024). 2023 OT Cybersecurity Year in Review. https://www.dragos.com/ot-cybersecurity-year-in-review/.
- Waterfall Security. (2023) 2023 Threat Report – OT Cyberattacks With Physical Consequences. https://waterfallcom/ot-insights-center/ot-cybersecurity-insights-center/2023-threat-report-ot-cyberattacks-with-physicalconsequences/.
- (2024). Boards of directors: The final cybersecurity defense for industrials. https://www.mckinsey.com/ capabilities/risk-and-resilience/our-insights/boards-of-directors-the-final-cybersecurity-defense-for-industrials?stcr=F0BA 7BB4F85F43F292A925704DDA0AFB&cid=other-eml-alt-mip-mck&hlkid=5b12ca08acb54a65a6a159820bdff781&hctky= 12004288&hdpid=7ad4a147-b8b8-46d8-8763-14d759425e48#/.
- (2024). 2024 Crypto Crime Trends: Illicit Activity Down as Scamming and Stolen Funds Fall, But Ransomware and Darknet Markets See Growth. https://www.chainalysis.com/blog/2024-crypto-crime-report-introduction/.
- More information on survey methodology available in appendix.
- (2024). OT Cybersecurity: The 2023 Year in Review. https://www.dragos.com/ot-cybersecurity-year-in-review/.
- (2023). Threat Landscape 2023. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023.
- (2024). Computer Security Resource Center Glossary. https://csrc.nist.gov/glossary.
- Abilkasimov,M., Dawn, C., Beato, F. and Moschetta, G. (2023). Manufacturing is the most targeted sector by cyberattacks. Here’s why increased security matters. World Economic Forum. https://www.weforum.org/ agenda/2023/03/why-cybersecurity-in-manufacturing-matters-to-us-all/.
- World Economic Forum. (2024). Global Cybersecurity Outlook. https://www.weforum.org/publications/globalcybersecurity-outlook-2024/.
- Recorded Future. (2024). Plant production still on hold for German battery manufacturer after cyberattack. https://therecord.media/varta-battery-plant-production-on-hold-after-cyberattack.
- Recorded Future. (2023). Semiconductor industry giant says ransomware attack on supplier will cost it $250 million. https://therecord.media/applied-materials-supply-chain-mks-ransomware-attack.
- (2022). Toyota suspends domestic factory operations after suspected cyberattack. https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyberattack-2022-02-28/.
- (2023). How the Economy, Skills Gap and Artificial Intelligence are Challenging the Global Cybersecurity Workforce. https://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_ Study_2023.pdf.
- (2022). Secure your OT and IoT devices with Microsoft Defender for IoT and Quzara Cybertorch™. https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-with-microsoft-defender-foriot-and-quzara-cybertorch/.
- (2024). OpenSSF and CISA Join Forces to Secure Open Source Software. https://openssf.org/ blog/2024/03/07/openssf-and-cisa-join-forces-to-secure-open-source-software/.
- (2024). The XZ Backdoor: Everything you need to know. https://www.wired.com/story/xz-backdoor-everythingyou-need-to-know/.
- (2023). Cross-Sector Cybersecurity Performance Goals. https://www.cisa.gov/cross-sector-cybersecurityperformance-goals.
- S. Securities and Exchange Commission. (2023). Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures. https://www.sec.gov/news/press-release/2023-227.
- International Society of Automation. (2024). ISA/IEC 62443 Series of Standards. https://www.isa.org/standards-andpublications/isa-standards/isa-iec-62443-series-of-standards.
- Directors & Boards. (2024). Manage Cybersecurity as Part of the ESG Strategy. https://www.directorsandboards.com/ board-issues/cyber-risk/manage-cybersecurity-as-part-of-the-esg-strategy/.
- SANS (2022). The Five ICS Cybersecurity Critical Controls. https://www.sans.org/white-papers/five-ics-cybersecuritycritical-controls/.
- World Economic Forum. (2021). Principles for Board Governance of Cyber Risk. https://www3.weforum.org/docs/WEF_ pdf.
- (2024). Cybersecurity Framework 2.0. https://csrc.nist.gov/News/2023/nist-releases-cybersecurity-framework-2-0-draft.
- World Economic Forum. (2021). Principles for Board Governance of Cyber Risk. https://www.weforum.org/publications/ principles-for-board-governance-of-cyber-risk/.
- (2024). Computer Security Resource Center Glossary. https://csrc.nist.gov/glossary.
- SANS (2022). The Five ICS Cybersecurity Critical Controls. https://www.sans.org/white-papers/five-ics-cybersecuritycritical-controls/.
- World Economic Forum. (2023). Unlocking Cyber Resilience in Industrial Environments: Five Principles. https://www.weforum.org/publications/unlocking-cyber-resilience-in-industrial-environments-five-principles/.
- (2024). Cybersecurity Framework 2.0. https://csrc.nist.gov/News/2023/nist-releases-cybersecurity-framework-2-0-draft.
- World Economic Forum. (2023). Unlocking Cyber Resilience in Industrial Environments: Five Principles. https://www.weforum.org/publications/unlocking-cyber-resilience-in-industrial-environments-five-principles/.
- World Economic Forum. Global Lighthouse Network. https://initiatives.weforum.org/global-lighthouse-network/.
- World Economic Forum. Cyber Resilience in Industries. https://initiatives.weforum.org/cyberresilienceindustries/.
- World Economic Forum. Bridging the Cyber Skills Gap. https://initiatives.weforum.org/bridging-the-cyber-skills-gap/.
Comments