製造現場のネットワークはどの程度安全ですか？

それは頭に浮かぶことではないかもしれませんが、ジョブショップや中規模のメーカーは、特に軍事および防衛部品の製造において、IT/OTサイバーセキュリティについて考える必要があります。規制はこちらです。準備はいいですか？

5軸機械などの最新の機械および工具技術を購入し、見習いや新しい機械工を雇い、指導し、部品をクランクアウトし、メンテナンススケジュールを常に把握するだけで十分ですか？現在、製造現場の従業員がスマートセンサーとインターネットベースのインフラストラクチャを使用しているため、ほとんどの店舗の機械や制御室の周辺には非常に多くのテクノロジーがあります。

現在、セキュリティ管理は実際の問題であり、すべてのシステムと従業員の行動の管理が含まれています。防衛産業向けの部品を製造しているショップにとって、セキュリティはコンプライアンスの最大の問題であり、ビジネスに大きな影響を及ぼします。

「今日の実用性は、中小規模のメーカーが定員に達し、注文が入り、最大の問題は人材を見つけて維持することです。これは、製品をドアから出す際の最大の制約です。製造業者が毎日行わなければならないすべての決定を考慮すると、サイバーセキュリティは彼らのレーダーで高くはありません」とミシガン製造技術センターの事業運営担当副社長であるエリオットフォーサイスはAdvancedManufacturingの記事で述べています。

今日の製造業におけるセキュリティの状態と、それがどこに向かっているのかについて、業界関係者と話し合います。

産業用サイバー攻撃：データ侵害、サイバースパイなど

インターネットはビジネスにとって素晴らしいツールであり、恩恵です。しかし、詐欺、身代金、盗難、システム操作が頻繁に発生する犯罪活動の場でもあります。

製造業はセキュリティの問題から免れていません。石油やガス、電気や原子力発電所などの重要なインフラストラクチャセグメントを含む産業部門も、セキュリティを強化する必要があります。 2018年、サウジアラビアでは、操業を妨害して爆発を引き起こすことを目的として、石油化学会社がハッキングされました。

もちろん、これは極端なケースですが、発生する可能性があります。セキュリティインシデントの大部分は、財務情報と知的財産を対象としています。

「これは非常に安全でないスペースです」と、VerveIndustrialProtectionのCEOであるJohnLivingstonは述べています。 「ほとんどのメーカーは一般的に問題に気付いていないか、社内に[それを処理するための]リソースを持っていません。 …一方で、多くはクラウドサービスに依存しており、もう一方の端では、パッチが適用されていない環境の古いオペレーティングシステムに依存しています。」

毎年発行される最も包括的な調査の1つであるVerizonの「2019DataBreachInvestigationsReport」によると、2018年には製​​造業で352件のセキュリティインシデントが発生し、そのうち87件でデータ開示が確認されました。

「2年連続で、金銭的な動機による攻撃は、製造業における侵害の主な理由としてサイバースパイを上回り、今年はさらに大きな割合（40％の差）でした」とベライゾンレポートの著者は結論付けています。 「これが他のほとんどの分野に当てはまる場合、攻撃の大部分の理由は金銭であるため、言及する価値はありません。ただし、製造業では、過去数年間に他の業種よりも高いレベルのスパイ関連の侵害が発生しています。」

目標がピーク生産と部品製造である場合、企業が目標を達成するのを支援する上でテクノロジーが中心的な役割を果たしていることは間違いありません。正確なマシン情報を収集して監視することは、最高のパフォーマンスを達成するためにますます重要になっています。

多くの場合、ジョブショップはインターネットに接続されており、電子メール、Webサイト、モバイルアプリなど、従業員が使用するアプリケーションはすべて、攻撃者が従業員や会社の情報や知的財産にアクセスするために必要な最初の手段となる可能性があります。この情報には、相手先ブランド供給業者が競合他社の手に負えないようにし、政府が他の国に持たせたくない部品仕様のライブラリが含まれる可能性があります。

「製造業者は、事業のリスク評価を実施する必要があります」と、製造業におけるサイバーセキュリティ国立センターの戦略アドバイザーであるKoushik Subramanianは、AdvancedManufacturingの記事で述べています。 「リスクは技術的なものである可能性があります。マシン、コントロール、またはソフトウェアに見られ、人員、慣行、およびプロセスにも見られます。リスクにはさまざまな形態がありますが、最も一般的なのは、悪意のある個人またはグループが最も弱いリンクである人を利用してシステムに侵入しようとするサイバー攻撃です。これが、フィッシングやランサムウェアが非常に人気があり、攻撃が増加傾向にある理由です。」

小規模な店舗の場合、コンピューターの管理とは、多くの場合、外部の情報技術企業、別名「IT」企業を雇うことを意味します。中規模および大規模のメーカーにとっては、社内ITスタッフのハイブリッド形式と、より複雑なテクノロジーの問題に対する外部企業からの追加の支援を意味する場合があります。

「業界のほとんどはこの認識段階を経ています」とLivingstonは言います。 「彼らは問題があることを理解し始めています。しかし、彼らは自分たちに問いかけています。「これまでインターネットベースのインフラストラクチャとして実際に管理されたことのない世界中の武器をどうやって手に入れることができるのでしょうか？」

技術的な質問に答える必要がありますか？フォーラムでMSCMetalworkingTechTeamに質問してください。

変更エージェント：標準、州の資金提供、サードパーティのサービス

米国国立標準技術研究所は、重要なインフラストラクチャを規制し、航空宇宙および防衛産業のルールを作成する機関です。 2016年、NISTはSP 800-171を公開しました。これには、「連邦政府以外のシステムおよび組織における管理された未分類情報の保護」に関する規則が含まれています。

この規格には、あらゆる規模のOEMおよび防衛下請け業者に影響を与える可能性のある厳格なセキュリティ管理が含まれています。会社がコンプライアンスに準拠していない場合、その会社はその仕事に入札できない可能性があります。

「重要なインフラストラクチャを使用していないほとんどのメーカーにとって、セキュリティの問題のために1日の生産性を失うことは国家の緊急事態ではありませんが、収益を損なうことになります」とPaperlessPartsの最高技術責任者であるScottSawyer氏は述べています。 「これが実際に機能しているのは、知的財産です。国防総省はこの分野に本当に関心を持っています。」

あらゆる規模のメーカーに影響を与えています。

「100人から200人の企業でさえこれに苦労しています」とSawyer氏は言います。 「突然、彼らはどのように準拠するかを理解する必要があります。」

企業はどのように対処していますか？防衛産業との契約を維持したり、新しい契約を引き付けようとしている人の中には、コンサルタントを招き入れており、セキュリティプログラムを実施しています。州および地方経済は、これらの種類の規制によって悪影響を受ける可能性があります。コストがかかる可能性があります。そのため、組織は、製造拡張パートナーシップ（MEP）を通じて企業がセキュリティ標準に準拠するのを支援するための資金を提供しています。

国防総省の取り組みとNISTの詳細については、このビデオをご覧ください。

セキュリティの問題を常に把握している人にとっては朗報ですが、ほとんどのメーカーはまだ暗闇の中にいます。特に小さなお店は、ソーヤーが説明します。

「一部の人は誤った安心感を持っています。彼らは、小さくて人里離れた場所にあり、物理的な場所が田舎であり、従業員が少なく、マーケティングの知名度が低いため、リスクにさらされていないと考えています」とSawyer氏は言います。 「しかし、あなたが知っている、それはまさにある意味で彼らを標的にすることができるものです。セキュリティがないため、ロッキードマーティン、レイセオン、ノースロップグラマンよりも簡単なターゲットです。」

これらの大企業はターゲットですが、分類された仕様と物理的セキュリティの処理についてもはるかに洗練されているとSawyer氏は説明します。ソーヤーは知っているでしょう—彼は製造業に移る前に数年間防衛産業で働いていました。

防衛会社は、工場を離れるときに仕事について話さないように従業員を教育しています。多くの人は、離れたら仕事用バッジを見えなくするように言われています。しかし、これらの努力でさえ、やる気のある攻撃者が重要な知的財産に到達するのを阻止していません。

「アメリカの製造業を信じていて、愛国心が強いなら、その一部には、その情報セキュリティ部分を気にすることが含まれるべきです」とSawyer氏は言います。

今日のショップはセキュリティをどのように扱っていますか？準備を進めていますか、それとも「無知は至福です」モードですか？フォーラムでそれについて話してください。 [登録が必要]