製造業における機器やシステムは、従来閉じた環境で運用されていましたが、IoT(Internet of Things)化によりオープンな環境へと変化しているので、不正アクセスによる障害や情報漏洩のリスクが高まっています。本記事は、製造業の重大な情報漏洩事例をもとに対処法や原因についてご紹介いたします。

製造業界における情報漏洩の現状

企業のIT化が進展するにつれ、不正アクセスやデータの外部持ち出しによる情報漏洩の危険性は高まり、その被害が毎年のように発生しています。

2019年の日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年に公表された情報漏洩事件の件数は443件で、漏洩した個人情報の件数は561万3,797人。その想定損害賠償総額は2,684億5,743万円に達し、1件あたりに換算すると6億3,767万円になります。

このうち、製造業の情報漏洩件数は15件で3.4%と少なく見えますが、インシデント・トップ10では不正アクセスにより9万人を超える情報漏洩が発生していて、その流出規模は10番目。件数が少ないとはいえ、1件あたりの損害賠償額をふまえると決して楽観はできません。

情報漏洩が企業に与えるダメージは、賠償額以上に社会的信用失墜や企業イメージの低下につながる恐れがあります。
情報漏洩の影響範囲によっては、業務停止に追い込まれるケースもあるため、その対策強化は製造業界においても、今や必須の課題です。

参照:2018年 情報セキュリティインシデントに関する調査報告書 【速報版】

製造業界と他業界の比較

JNSAの調査結果によると、2018年の情報漏洩件数でもっとも多い業種は公務で131件、全体の約3割を占めています。製造業界の発生件数は前述のとおり15件で、公務の11%程度の件数です。

しかし近年、従来閉じた環境で運用されていた製造業の制御システムは、IoT(Internet of Things)化によりオープンな環境へと変化しているので、不正アクセスによる障害や情報漏洩のリスクが高まっています。

製造業界の場合、製造に関わる独自の技術情報が漏洩すれば、市場での立場が弱くなり、経営に大きなダメージを与えるばかりか、海外に流出すれば国益への影響も考えられます。

実際過去には、他国の企業やライバル企業への技術情報漏洩が発覚し、刑事告訴事件になった事例がいくつもあります。(2018年 経産省 技術流出防止・営業秘密保護強化について)
不正アクセスによる流出防止はもちろんですが、内部から他社や他国への技術情報の流出防止も念頭にいれながら、情報セキュリティ対策を検討することが重要です。

製造業の重大な情報漏洩事例4件

ここでは、主に製造業界を中心に発生した情報漏洩事件を紹介します。
自社の情報セキュリティ教育に取り入れれば、従業員の情報セキュリティに対する意識を高められるので、ぜひ参考にしてください。

1.積水化学元社員が中国企業へスマートフォン関連技術を漏洩

2020年10月13日、積水化学工業の元社員がスマートフォンの液晶技術に関わる情報を中国企業に漏洩したことが発覚し、大阪府警により逮捕および書類送検されました。
SNSを通じて中国企業から誘われた元社員は、中国側の技術情報を得る約束で技術情報を渡しましたが、中国企業側からの提供は一切なく、積水化学工業の技術情報のみが奪われてしまった事件です。
また不正に入手した技術情報は、USBメモリーにコピーし、私用PCからメールで送信する方法で渡していたようです。

このような製造業界における企業独自の技術情報は、市場の優位に立てるかどうかの切り札になりうるため、それを狙った不正アクセスや情報漏洩の手引きが行われる可能性が高い業界です。
外部からの侵入や攻撃を防ぐことはもちろんですが、内部からの持ち出しを防止するためのシステム導入や厳格な持ち出し運用ルールが必要でしょう。

参照:積水化学元社員に有罪 中国企業への情報漏洩 大阪地裁判決

2.東芝のフラッシュメモリに関する研究データが韓国企業に漏洩

2014年3月14日、東芝の提携会社元社員が不正競争防止法違反で逮捕されました。
逮捕された元社員は2008年ごろ、共同技術研究のため東芝の半導体メモリ工場に勤務。
その際に、営業機密に当たるフラッシュメモリの研究データを不正に持ち出し、韓国の半導体王手SKハイニックス社に提供していました。
東芝は元社員逮捕後に、SKハイニックス社と元社員に対して1000億円余りの賠償を求める訴訟を起こしています。

本件で漏洩した共同研究を行うような施設では研究データの外部流出を防ぐため、入退出前の持ち物検査、USBメモリの使用禁止、そしてスマートフォンの携帯禁止など、厳格なセキュリティ対策がとられています。
また、運用やシステムによる対策のみならず、従業員の情報セキュリティに対する意識を高めるための教育も必要になるでしょう。

参照:韓国SKハイニックス社に対する訴訟の提起について

3.セイコーエプソン関連会社、誤送信でメールアドレス約1,000件流出

2022年9月15日、セイコーエプソンの関連会社エプソン販売が、メール誤送信によって1,000件以上のメールアドレスが流出したことを公表しました。
原因は、報道関係者宛てのイベント通知メールを送信する際に、誤ってメールアドレスの記載されたファイルを従業員が添付してしまったこと。

このようなメール送信に関わる事件は、特定の業界に限らず発生する可能性があり、人為的ミスを防ぐための運用ルールや流出の一歩手前で止めるための仕組みが必要です。

参照:セイコーエプソン関連会社 1000件超のメールアドレス流出

4.森永製菓、不正アクセス被害により約165万人の情報流出の可能性

2022年3月22日、サーバの不正アクセスにより165万人以上の顧客情報が流出した可能性を、森永製菓株式会社が発表しました。
流出した可能性のある顧客情報は、氏名・住所・電話番号・生年月日・性別・メールアドレス・購入履歴。
原因は、3月13日深夜に発生した複数のサーバへの不正アクセスで、不正に侵入されたばかりでなく一部のデータはロックされていたということです。

流出した可能性のある顧客情報の不正利用は確認できていないそうですが、第三者にわたった時点で詐欺や悪質な業者に悪用される危険性を否めません。
近年はとくに不正サクセスが増加しているので、できるだけリアルタイムに不正アクセスを検知できる仕組みが求められます。

参照:不正アクセス発生による個人情報流出の可能性のお知らせとお詫び

【製造業界】情報漏洩の原因TOP3

情報漏洩の原因でもっとも多いのは、「不正アクセス」です。近年とくに増加傾向にあり、東京商工リサーチの2021年度の調査では、外部からの不正アクセスによる情報漏洩は49.6%と原因のほぼ半数を占めています。

不正アクセスの次に多い原因が、「従業員の操作ミス等の人的ミス」で31.3%で、それに続いて多いのが「顧客情報の保存された端末やUSBの紛失・誤廃棄」です。ここでは、これら情報漏洩原因TOP3について解説します。

1.マルウェア感染などによる外部からの不正アクセス

前述のとおり、不正アクセスは情報漏洩原因の半数を占めています。
IoT化が浸透している製造業界ではとくに、不正アクセスを許してしまうと以下のような事態が起こり得ます。

①制御システムに障害が発生し、全社あるいはグループ会社の生産ラインが止まってしまう。
②自社サーバに保存された自社特有の技術情報が盗まれてしまう。
③自社サーバに保存された技術情報や顧客情報をロックされてしまい、解除と引き換えに身代金を要求される。
④自社のサーバを踏み台に利用され、他社サーバへの不正アクセスおよび情報漏洩を許してしまう。

これらの事態が発生してしまうと、自社の被害はもちろん関連会社や取引先、場合によってはまったく関係の無い企業にまで損害を与えてしまう可能性を否定できません。
また、自社特有の技術情報が流出してしまえば、市場での優位を保てず経営に大きな影を落とすことにもなり兼ねません。

このような被害を防止するためにも、リアルタイムに侵入を検知するDLPや、ネットワークにつながる端末のセキュリティレベルを保つ資産管理ツール等の導入が必要でしょう。
また、不正アクセスは利用者のパスワード管理の甘さにつけ込まれたケースがもっとも多いので、強力なパスワードの設定や定期的にパスワードを変更する運用を義務付ける、といった対策も重要です。

参照:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

2.メールやFAXの宛先ミスなどの誤操作

2021年の中小企業白書(中小企業庁まとめ)によると、製造業では生産管理関連のITツール化は進んでいるものの、ERP・基幹システム、情報管理、経営分析などは「ITツール・システムの導入予定はない」の回答が4割を超えています。
この現状をふまえると、中小企業では業務のIT化はまだまだ進行途中で、受発注などの社内の業務に関してはメールやFAXで行っている企業が多いと考えられます。
メールやFAXの宛先ミスによる情報漏洩は起こりやすいケースなので、人為的ミスは発生するものという前提でメールやFAXの送信運用ルールを策定したうえで、定期的な教育研修の実施による従業員のセキュリティ意識向上が重要になります。


3.顧客情報の保存された端末やUSBの紛失

個人情報を保存したデバイスを外部に持ち出して紛失してしまうケースは、よくある事故事例となっております。たとえば以下のようなシーンで起こります。

①一時的な社外での作業のため、USBに顧客情報をコピーした。
②リモートワークで作業するために、持ち出し用のノートPCに顧客情報をコピーした。
③顧客情報を保存しているハードディスクが古くなったため廃棄対象になった。

①と②は従業員がUSBやノートPCの紛失や盗難の被害に遭う危険性が伴います。
③は、本記事でも紹介した事故事例ですが、廃棄したはずのデバイスを拾われたり盗まれたりするリスクがあります。

前述のとおり近年はコロナの影響等でリモートワークが推進されており、②のようなケースが多くなってきています。
データを外部に持ち出す時点で、情報漏洩リスクは高まるので重要なデータは外部に持ち出す際の社内ルールの徹底や持ち出さずに済む運用やシステムの導入が求められます。

まとめ

本記事では、製造業界の情報漏洩の状況を解説し、過去に発生した事故事例を5件紹介しました。
また、情報漏洩の原因TOP3を解説し、それぞれでどういう状況におちいる可能性があるかについても言及しています。

情報セキュリティの対策を怠ればどんな実害を受けるか知ることで、現状の課題と今後とるべき対策が見えてきます。
また、セキュリティに対する意識の向上にもつながるでしょう。
本記事をとおして、情報漏洩を防ぐための対策強化や、情報セキュリティ教育の強化につながれば幸いです。

▼関連記事
会社の情報漏洩対策 7つのポイント〜重大漏洩事例と共に考える〜
自工会/部工会・サイバーセキュリティガイドラインの概要、要求事項、評価方法を解説
営業秘密の漏洩事例は?3要件を踏まえた防止策をわかりやすく解説

低コストでセキュリティ対策を始めるなら

  • 「セキュリティ対策が求められているが、予算が限られている」
  • 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy:https://watchy.biz/
運営会社:株式会社スタメン(東証グロース市場4019)

著者情報

Watchy 編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。