世界経済フォーラム (WEF) 製造事業者がサイバーレジリエンス文化を構築する3つの方法

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、製造事業者がサイバーレジリエンス文化を構築する3つの方法という記事を載せていますね。。。

1. Make cyber resilience a business priority.	1. サイバーレジリエンスをビジネスの優先事項とする。
2. Drive cyber resilience by design.	2. 設計によってサイバーレジリエンスを推進する。
3. Engage and manage the ecosystem.	3. エコシステムを関与させ、管理する。

 

企業文化をつくる、変えるという意味では、経営者が率先して言葉にして、行動しないといけませんよね...

COSOの内部統制の報告書では、Tone the Top [wikipedia] という表現を使っていますね。。。

 

・2024.06.07 3 ways manufacturers can build a culture of cyber resilience

3 ways manufacturers can build a culture of cyber resilience	製造事業者がサイバーレジリエンス文化を構築する3つの方法
This article is part of: Centre for Advanced Manufacturing and Supply Chains	この記事は先進製造・サプライチェーンセンターの一部である。
・A cyberattack on a manufacturer can have significant knock-on effects that can even spread beyond the industry to other organisations along the supply chain.	・製造事業者がサイバー攻撃を受けると、その影響は大きく、業界を超えてサプライチェーン上の他の組織にまで波及する可能性がある。
・The expense and business impact of pausing production makes it difficult for manufacturers to make system changes or upgrades to address cybersecurity, but this also makes them a prime target for cyberattacks.	・製造事業者がサイバーセキュリティに対応するためにシステムの変更やアップグレードを行うことは、生産を一時停止することによる費用やビジネスへの影響を考えると難しい。
・By following three key principles, manufacturers can integrate cyber resilience into their organizational culture to help boost their own security – and that of the other organisations in their business networks.	・製造事業者は、3 つの主要原則に従うことで、サイバーレジリエンスを組織文化に統合し、自組織のセキュリ ティを高めることができる。
The manufacturing sector, an essential element of the global economy, encompasses diverse industries such as consumer goods, electronics, automotive, energy and healthcare. Due to its global reach and impact, it plays a significant role in exports, innovation and productivity growth, fuelling economic development worldwide.	グローバル経済に不可欠な製造事業者は、消費財、エレクトロニクス、自動車、エネルギー、ヘルスケアなど多様な業界を包含している。その世界的な広がりと影響力により、製造業は輸出、技術革新、生産性向上において重要な役割を果たし、世界中の経済発展を促進している。
The global spread of manufacturing production facilities creates complex supply chains in which producers are also often consumers. Manufacturing is also inherently intertwined with other sectors such as logistics, energy and information technology. And so, any disruption to the manufacturing process can cascade throughout many other sectors – and around the world.	製造業の生産拠点が世界各地に広がることで、複雑なサプライチェーンが形成され、そこでは生産者が消費者でもあることが多い。製造事業者はまた、ロジスティクス、エネルギー、情報技術といった他のセクターとも本質的に絡み合っている。そのため、製造工程に何らかの混乱が生じると、他の多くの部門に、そして世界中に連鎖する可能性がある。
Over the past decade, the manufacturing sector has undergone rapid digital transformation, embracing innovations such as digital twins, robotics, artificial intelligence, cloud computing and the industrial internet of things (IIoT). While these advances drive growth and efficiency, they also expose the sector to cyber threats.	過去10年間、製造事業者は急速なデジタル変革を遂げ、デジタル・ツイン、ロボット工学、人工知能、クラウド・コンピューティング、モノの産業用インターネット（IIoT）などのイノベーションを取り入れてきた。こうした進歩は、成長と効率化を促進する一方で、製造業をサイバー脅威にさらしている。
The rise of cybersecurity attacks	サイバーセキュリティ攻撃の増加
The transition from isolated systems to interconnected ones alongside the rise of the internet and then cloud computing has heightened cybersecurity challenges for industrial organisations – especially since different organisations don't always put the same emphasis on investing in cybersecurity. Increased data exchange throughout the entire supply chain only amplifies these risks. The result is that cyber risk is systemic, contagious and often beyond the understanding or control of any single entity.	インターネット、そしてクラウド・コンピューティングの台頭とともに、孤立したシステムから相互接続されたシステムへの移行は、産業組織にとってのサイバーセキュリティの課題を高めている。サプライチェーン全体でのデータ交換の増加は、こうしたリスクを増幅させるだけである。その結果、サイバーリスクはシステム化され、伝染し、しばしば単一の事業体の理解や制御を超えることになる。
In fact, heightened connectivity and data transparency has made manufacturing the most targeted sector for cyberattacks for three years in a row. It now accounts for 25.7% of attacks, with ransomware involved in 71% of these incidents. Manufacturing organizations are a particularly lucrative and accessible target for ransomware due to their low tolerance for downtime and relatively low level of cyber maturity compared to other sectors.	実際、接続性とデータの透明性が高まったことで、製造事業者は3年連続でサイバー攻撃の最も標的とされる部門となっている。現在、攻撃の25.7%を占めており、その71%にランサムウェアが関与している。製造事業者は、ダウンタイムに対する耐性が低く、サイバー成熟度が他のセクターと比べて比較的低いため、ランサムウェアにとって特に有利でアクセスしやすいターゲットとなっている。
Manufacturing companies also often lag behind when it comes to investment in cyber resilience because of their extended production cycles and the hefty investments needed to redesign manufacturing lines. In February 2024, for example, a German battery manufacturer had to halt production at 5 plants for over 2 weeks due to a cyberattack on its IT system.	また、製造事業者は、生産サイクルが長く、製造ラインの再設計に多額の投資が必要なため、サイバーレジリエンスへの投資が遅れがちである。たとえば、2024 年 2 月には、ドイツの電池製造事業者が、IT システムへのサイバー攻撃により、5 つの工場で 2 週間以上にわたって生産を停止せざるを得なくなった。
With the costs of attacks on this sector increasing by 125% each year, cyber risk is now seen as the third biggest external risk to manufacturers.	この分野への攻撃コストは毎年125％増加しており、サイバーリスクは現在、製造事業者にとって3番目に大きな外部リスクと見なされている。
Building a cyber resilient culture	サイバーレジリエンス文化の構築
The manufacturing sector faces challenges building cyber resilience across five dimensions. Chief among these is the cultural mindset gap between enterprise (or office-based) and industrial environments, with the latter often prioritizing physical safety over cyber safety. This gap poses a significant hurdle to cyber resilience efforts.	製造事業者は、5つの側面からサイバーレジリエンスを構築するという課題に直面している。その最たるものが、エンタープライズ環境（またはオフィス環境）と産業環境との間の文化的な考え方のギャップであり、後者ではサイバーセーフティよりも物理的な安全性が優先されることが多い。このギャップは、サイバーレジリエンスへの取り組みに大きな障害となっている。
Technical challenges are also a major barrier. Outdated legacy systems combined with the number of connected assets within industrial control systems has left many manufacturing organizations unprepared to fend off sophisticated cyber threats.	技術的な課題も大きな障壁である。時代遅れのレガシーシステムと、産業用制御システムに接続された資産の数とが相まって、多くの製造事業者は、高度なサイバー脅威を撃退する準備ができていない。
Manufacturers are also often reluctant to take factories offline to make upgrades in security or deal with cyberattacks. Along with the industry’s extended ecosystem dependencies, this also makes maintaining cyber resilience difficult. Additionally, strategic challenges arise from dynamic tensions between economic factors, market forces and geopolitical issues. For example, manufacturing is influenced by external forces such as the global inflation and rising energy costs. In a recent report, Rockwell highlighted cyber risks as the third biggest obstacle for manufacturers behind these other factors.	製造事業者はまた、セキュリティのアップグレードやサイバー攻撃への対処のために工場をオフラインにすることに消極的な場合が多い。エコシステムへの依存度が高いことも、サイバーレジリエンスを維持することを困難にしている。さらに、戦略的な課題は、経済的要因、市場の力、および地政学的問題の間の動的な緊張関係 から生じる。例えば、製造事業者は、世界的なインフレやエネルギーコストの上昇といった外的要因の影響を受けている。ロックウェル社は最近の報告書で、製造事業者にとってサイバーリスクは、こうした他の要因に次いで3番目に大きな障害であると強調している。
Another complication is that manufacturers must navigate various regulations and industry standards concerning human and product safety, data protection and cybersecurity. This is made even more difficult if companies have decentralized operations – most manufacturers have factories around the world, as well as working with subsidiaries that may have their own decision-making practices and priorities. Operating across diverse regulatory landscapes only adds more complexity.	もうひとつ複雑なのは、製造事業者が人的安全や製品安全、データ保護、サイバーセキュリティに関するさまざまな規制や業界標準を乗り越えなければならないことだ。製造事業者の多くが世界中に工場を持ち、独自の意思決定や優先順位を持つ子会社と連携しているためだ。多様な規制環境にまたがって事業を行うことは、さらに複雑さを増すだけである。
3 ways to make manufacturing cyber resilient	製造業のサイバーレジリエンスを高める3つの方法
Regardless of these complexities, the manufacturing sector must deal with cyber challenges so it can explore new technologies in a secure manner. In this context, the World Economic Forum’s Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains recently convened a community of cyber leaders across manufacturing to discuss the key challenges and identify best practices.	このような複雑さにかかわらず、製造事業者は、安全な方法で新技術を探求できるよう、サイバー上の課題に対処しなければならない。このような背景から、世界経済フォーラムのサイバーセキュリティ・センターと先進製造業・サプライチェーン・センターは最近、製造業全体のサイバーリーダーたちのコミュニティを招集し、主要な課題について議論し、ベストプラクティスを特定した。
The resulting playbook, Building a Culture of Cyber Resilience in Manufacturing, outlines three cyber resilience principles:	その結果作成されたプレイブック「製造業におけるサイバーレジリエンス文化の構築」では、3つのサイバーレジリエンス原則が概説されている：
1. Make cyber resilience a business priority. This principle emphasizes the need for cultural change and a comprehensive cybersecurity governance. It also covers the importance of securing budget and resources, while also creating incentives to ensure that cybersecurity is an objective embraced by all stakeholders.	1. サイバーレジリエンスをビジネスの優先事項とする。この原則は、企業文化の変革と包括的なサイバーセキュリティガバナンスの必要性を強調している。また、予算とリソースを確保することの重要性を取り上げると同時に、サイバーセキュリティがすべての利害関係者に受け入れ られる目標であることを確実にするためのインセンティブを生み出すことも示している。
2. Drive cyber resilience by design. This means integrating cyber resilience into every aspect of processes and systems. A risk-based approach must be used to incorporate cyber resilience into the development of new products, processes, systems and technologies.	2. 設計によってサイバーレジリエンスを推進する。これは、プロセスとシステムのあらゆる側面にサイバーレジリエンスを組み込むことを意味する。リスクベースのアプローチを用いて、新製品、プロセス、システム、および技術の開発にサイバーレジリエンスを組み込む必要がある。
3. Engage and manage the ecosystem.	3. エコシステムを関与させ、管理する。
This principle underlines the importance of fostering trusted partnerships and raising security awareness among stakeholders. Rather than having one organization exert control over a supply chain of other actors, an ecosystem approach involves encouraging all entities in a business network to collaborate to address issues like cybercrime.	この原則は、信頼できるパートナーシップを醸成し、利害関係者のセキュリティ意識を高めることの重要性を強調するものである。エコシステム・アプローチでは、1つの組織が他の関係者のサプライチェーンを管理するのではなく、事業ネットワーク内のすべての事業体が協力してサイバー犯罪などの問題に対処することを奨励する。
This kind of increased connectivity should not mean more risk, in fact it can actually help to shift or even gradually improve the risk exposure of an organization. As such, connectivity can provide tremendous benefits to an organization’s cybersecurity programme. It means that systems that were once isolated, providing companies with little visibility, can be managed more effectively at a larger scale.	このようなコネクティビティの向上は、リスクの増大を意味すべきではなく、むしろ組織のリスク・エクスポージャーをシフトさせたり、徐々に改善させたりするのに役立つ。このように、接続性は組織のサイバーセキュリティ・プログラムに多大なメリットをもたらす。それは、かつては孤立し、企業にほとんど可視性を提供しなかったシステムを、より大規模に、より効果的に管理できるようになることを意味する。
These three principles are interlinked and mutually supportive. They are supported by 17 real-world manufacturing use cases and so are applicable across any manufacturing industry and location. And as digitalization progresses, organizations in the manufacturing sector must use these principles to prioritize building a robust cyber resilience culture. This will help the industry navigate the growing cyber threat landscape more effectively.	これら3つの原則は相互にリンクしており、相互に支え合っている。これらの原則は、実際の製造事業者における 17 のユースケースによって裏付けられているため、どのような製造業 界や場所にも適用可能である。そして、デジタル化の進展に伴い、製造部門の組織は、これらの原則を活用して、強固なサイバーレジリエンス文化を構築することを優先しなければならない。そうすることで、拡大するサイバー脅威の状況をより効果的に乗り切ることができるようになる。