2025.10.10

製造業における

サイバーレジリエンス強化戦略

アサヒビール事案の構造分析とC-SCRM、PQC対応の重要性

I. エグゼクティブ・サマリー

アサヒビールが経験した大規模なサイバーインシデントと、それに伴う財務的損失は、現代の製造業が直面するサイバーリスクの深刻さと多次元性を明確に示しています。この巨額の損失は、単なる身代金やIT復旧費用に留まらず、生産ラインの停止が引き起こす広範な業務停止および逸失利益が主因であると分析されます。この事案は、サイバーセキュリティ投資を、単なるITコストではなく、事業継続性と生産性維持のための戦略的投資として捉え直す必要性を示唆しています 。

本報告書は、アサヒビール事案の財務的・構造的な教訓を踏まえ、製造業の経営層が即座に取り組むべき二つの戦略的柱を提言します。第一の柱は、現在の脅威に対応するためのサイバー・サプライチェーンリスク管理（C-SCRM）の成熟度向上です。第二の柱は、将来の根本的な暗号解読リスクに備える耐量子暗号（PQC）への移行戦略の策定と着手です。これらの戦略を統合的に実行することで、企業はレジリエンスを高め、デジタル時代の競争優位性を確保することが可能となります。

II.アサヒビール事案の構造分析と教

2.1. インシデントの推定と想定被害額の財務的構成要素

アサヒビール事案において、企業からの公式発表でランサムウェアであると明言されてはいませんが、これほどの広範囲な業務停止を引き起こした攻撃の性質から、ランサムウェアの可能性が極めて高いと推測されます。ランサムウェア攻撃の目的は、システムを暗号化し、その解除と引き換えに身代金を要求することですが、製造業にとっての真のリスクは、この暗号化が工場システム（OT）の停止に直結することです 。

想定被害額の最大値は、身代金の支払い（推定される場合）やデータの復旧コストといった直接費用だけでなく、より複雑な多次元的要素から構成されます。ランサムウェア攻撃によって発生する損失の大部分は、以下の三つのカテゴリに分類されます。

1.    直接復旧コスト： インシデント対応コンサルタント、フォレンジック調査、一時的なITスタッフの増員、緊急のITサービス契約に伴うコストが含まれます。米国の行政サービスや運輸局の事例では、復旧活動のみで数百万ドル単位の支出が発生しており、これらの初期対応費は決して軽視できません。

2.    業務停止・逸失利益（生産性の損失）： 製造業において損失を最も急激に拡大させる要素です。システム停止は製品や生産に関するデータの漏洩リスクを引き起こすだけでなく、設備や機器の誤作動、さらには生産ラインの停止による販売機会の損失や契約不履行のリスクにつながり、事業継続そのものが困難になります。

3.    間接コスト・長期損害： ブランドイメージの棄損、株価変動、訴訟リスク、そして最も重要な要素として、事後の大規模なセキュリティ強化投資やサイバー保険料の急激な上昇などが含まれます。

この損失構造における重要な分析は、製造業のサイバー損失の主因が、ITシステム修復の費用そのものではなく、OTシステムが停止することによって生じる業務停止と逸失利益の爆発的な増大にあるという点です。ランサムウェアによる暗号化がIT環境とOT環境が統合された工場システムにおいて機能不全 を引き起こし、結果として生産ラインの全面停止に至り、それが90億円の大半を占める逸失利益を生成するという構造です 。したがって、サイバーレジリエンス戦略は、単なる「侵入阻止」だけでなく、「業務停止からの迅速な回復」に焦点を当てる必要があります。

2.2. グローバル製造業の類比事例：ノルスク・ハイドロ社の教訓

アサヒビール事案の財務的規模を評価する上で、ノルウェーのアルミニウム製造大手ノルスク・ハイドロ（Norsk Hydro）が2019年に受けたランサムウェア攻撃（LockerGoga）の事例は、製造業の経営層にとって重要な教訓となります。この攻撃は40カ国、35,000人の従業員に影響を与え 、クリティカルなファイルとシステムが暗号化されました 。

業務への影響は深刻であり、自動化された生産ラインは停止を余儀なくされ、一部の工場では「ペンと紙」を用いたマニュアルオペレーションへの移行を強いられました。これは、ITの障害が物理的なオペレーション（OT）を麻痺させる製造業特有の構造的な脆弱性を浮き彫りにしています。最終的に、ノルスク・ハイドロの総コストは、約8億ノルウェークローネ（当時のレートで約71百万米ドル、およそ80億円規模）と推定されました 。

この比較から、アサヒビール事案の想定被害額規模は、グローバル製造業におけるOT/IT障害が発生した場合の標準的な損害額として認識すべきであり、決して外れ値ではありません。ノルスク・ハイドロは強固なサイバー保険に加入していたものの、損失の全額をカバーするには至らず、特に最も大きな財務的損失を被ったのは、アルミニウム製造部門でした。これらの事例は、製造業のサイバーセキュリティ対策が、単なる技術的防御ではなく、巨大な財務リスクを軽減し、事業継続性を担保するための経営戦略であるべきことを強く示唆しています。

ノルスク・ハイドロの事例を鑑み、アサヒビール事案における推定被害コスト構造の分類は、以下の通りに整理されます。

III.戦略的リスク軽減策：サイバー・サプライチェーンリスク管理（C-SCRM）の強化

現代の製造業において、自社システムへの直接攻撃に加えて、取引先やサプライチェーンを経由した被害拡大リスクは死活問題となっています 。アサヒビール事案においても、攻撃の侵入経路や拡大過程で外部のサプライヤーが関与した可能性を否定できず、C-SCRMの強化は企業のレジリエンス向上のための必須戦略です。具体的には、サプライチェーン上のベンダーのアタックサーフェスを高頻度にスキャンし、脆弱性やサイバー空間における情報流出の痕跡を検知することで、リスク管理を徹底します。重要なポイントは、スキャンの高頻度化、誤検知率の低減、そしてクリティカルなリスクを確実に検知する能力です。

3.1. C-SCRM導入の緊急性と財務的メリット

サプライチェーンリスク対応の成熟度は、企業の財務的レジリエンスと明確に相関します。ある調査では、サプライチェーンリスク対応に関する成熟度評価で上位25%に位置する企業群が、それ以外のグループと比較して、インシデント後の棚卸資産回転率の回復スピードが速いことが判明しています。これは、C-SCRMが単なるセキュリティ対策ではなく、危機発生時の迅速な財務状況回復、すなわち事業継続能力を直接的に向上させる経営手法であることを示しています。

C-SCRMを導入するにあたり、米国NIST（国立標準技術研究所）が策定したSP 800-161 Rev. 1は、グローバルなベンチマークとして権威的です。このガイダンスは、組織がITだけでなく、調達、R&D、運用を含む全社的なアプローチ（マルチレベル）を通じて、サイバーセキュリティ・サプライチェーンリスクを特定、評価、緩和するための枠組みを提供します。

3.2. NIST SP 800-161に基づくC-SCRMフレームワークの適用

NIST SP 800-161は、C-SCRM活動をエンタープライズ、ミッション・ビジネスプロセス、オペレーショナルという3つのレベルで統合的に実施することを推奨しており、経営層を含む全社横断的な意思決定が不可欠です 。

特に重要なのは、NISTサイバーセキュリティフレームワーク（CSF）のティアに基づき、組織のC-SCRM成熟度を評価し、向上させることです。

●      CSF Tier 1 (Partial):企業がサプライチェーン全体におけるサイバーリスクへの露出や、エコシステム内での自社の役割を理解していない状態です。リスクの特定、評価、緩和のためのプロセスが存在せず、他エンティティとの連携もありません。

●      CSF Tier 2 (Risk Informed):企業はリスクを理解していますが、リスク管理能力の内部的な公式化が不足しています。また、広範なエコシステム内のエンティティとの情報共有や連携能力が未熟です。

●      CSF Tier 3 (Repeatable):全社的なアプローチが企業リスク管理ポリシー、プロセス、手順を通じて実行されています。ガバナンス構造が存在し、サプライヤーやパートナーとの正式な合意に基づき、ベースライン要件を伝達できる状態です。

●      CSF Tier 4 (Adaptive):企業はパートナーと情報を積極的に消費・共有し、リアルタイムまたはニアリアルタイムの情報を用いて、インシデントが発生する前に予防的にセキュリティを改善します。この段階では、DXで求められる属人化を排した業務標準化とデジタルデータ活用が徹底され、回復速度が大幅に向上します。

製造業がNIST C-SCRMを採用する主要な理由は、国際的な権威を持つ共通言語をサプライヤーとのコミュニケーションで活用できる点と、成熟度評価（Tier 1からTier 4へ）を通じてセキュリティ投資のロードマップが明確になり、経営層が財務的視点からリスク対応の進捗を確認できるようになる点にあります。セキュリティ対策は標準化され、自動化された業務プロセスと一体化されなければ、Tier 4の成熟度は達成できません。

3.3.実行可能なサプライヤーリスク緩和戦略

C-SCRMを実効性のあるものとするためには、具体的なリスク緩和戦略が必要です。

第一に、サプライヤーのリスクは定期的に評価し、見直すことが不可欠です 。第二に、レジリエンスを高める非技術的戦略として、サプライヤーを単に物理的な場所だけでなく、国、地域、およびその他の要因に基づいて多様化することが強く推奨されます。第三に、サプライヤーとの契約には、コスト的な影響を組み込むことで、必要に応じて契約解消を容易にし、リスク移転を可能にする必要があります 。

さらに、現代的な技術防御策として、ゼロトラストアーキテクチャ（ZTA）の導入が必須です。従来のVPNなどに依存したアクセス制御は、サプライチェーン経由の侵入やリモートワーク環境におけるセキュリティリスクを高めます。ZTAは「信用しない」を前提とし、すべてのアクセス要求を厳格に検証することで、ランサムウェアのような脅威が内部ネットワークで横展開するリスクを最小限に抑えます。製薬業界の武田薬品工業や物流業界の鴻池運輸など、製造業に関連する業界でのZTA導入事例は、サプライヤーアクセスや多様な働き方への対応においてZTAが有効であることを示しています。

IV. 未来の脅威への備え：耐量子暗号（PQC）への移行戦略

現在のサイバー攻撃による財務的損失に対処する一方で、経営層は、近い将来の量子コンピューティングによる根本的な暗号解読リスク（Y2Q）に備えなければなりません。この脅威は、製造業が保有する長期的な機密データ、特に知的財産（IP）やR&Dデータにとって、構造的なセキュリティリスクとなります。

4.1. 量子コンピューティングの脅威とPQC対応の緊急性

将来的に量子コンピュータが実用化されると、現在広く利用されている公開鍵暗号方式（RSAやECCなど）が数時間から数日で解読される可能性があり、通信の機密性が根本から崩壊します。この脅威は理論的なものではなく、量子市場は2023年から2035年にかけて年平均成長率（CAGR）23～25%で成長すると予測されており、技術開発は急速に進展しています。

製造業にとって最も緊急性の高い潜在的脅威は、量子コンピュータによる暗号解読能力が確立される前に、攻撃者が現在暗号化された機密データ（設計図、戦略文書、顧客情報など）を盗み出し、安全な場所に保存しておく「HarvestNow, Decrypt Later」攻撃、すなわちHarvesting Attackです。製造業は製品のライフサイクルが長く、R&Dデータや知的財産を数十年単位で保護する必要があるため、このHarvestingAttackの主要なターゲットとなります。PQCへの移行が遅延することは、数年後または数十年後に致命的な情報漏洩を引き起こすリスクを意味します。V.事業継続性を高める現代的防御体系の構築

C-SCRMとPQCは、それぞれ現在と未来の戦略的リスクに対応するための柱ですが、ランサムウェア被害の直接的な原因（横展開、システム停止）に対処するためには、現代的な防御体系（ZTAとOTセキュリティ）の導入が不可欠です。

5.1. ゼロトラストアーキテクチャ（ZTA）の導入

従来の境界防御モデルは、サプライチェーンやリモートワークを悪用した内部侵入に対して脆弱性を露呈しています。ランサムウェアは一度侵入を許すと、ネットワーク内で急速に水平移動し、被害を拡大させます。ZTAの導入は、この横展開のリスクを最小化するための最も効果的な手段です。

ZTAは「一切信用しない」を前提に、すべてのユーザー、デバイス、アプリケーションのアクセスを検証・認可します。製造業においては、特に多様な働き方に対応するため、また、SaaS（クラウドサービス）導入に伴うセキュリティ強化の要件として、ZTAが推進されています。OT環境へのリモートアクセスゲートウェイにZTAを適用することは、外部からの攻撃経路を厳格に制御し、アサヒビール事案のような業務停止リスクを低減します。

5.2. OTセキュリティの特化と強化

工場システムは、他の業界よりもサイバー攻撃に狙われやすい環境にあります 。ランサムウェアによる工場停止は、莫大な経済的損失や情報漏洩につながるため、製造業にとって死活問題です。

最も重要な対策は、ITネットワークとOTネットワークの厳格なセグメンテーション（分離）です。これにより、仮にITシステムがランサムウェアに感染しても、OTシステムへの水平移動を阻止し、生産ラインの全面停止を防ぐことが可能となります。また、いかなる規模の工場であってもセキュリティリスクを他人事と考えず、経済産業省による「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を参照し、セキュリティ対策の点検と改善に継続的に取り組む必要があります。これには、パッチ適用が困難なレガシーなOT機器に対する特化した防御策の導入が含まれます。

VI. 結論と優先順位付けられた推奨アクション

アサヒビール事案の分析、ノルスク・ハイドロの類比、そして現代的・未来の脅威に対する構造的考察を通じて、サイバーレジリエンスの強化は、製造業の経営戦略の中核を占めるべきであることが確認されました。セキュリティ対策は、単なるコストセンターではなく、事業継続性を担保し、市場の回復スピード（棚卸資産回転率など）を向上させるための戦略的投資として位置づけられなければなりません。

経営層がコミットすべき、優先順位付けされたアクションは以下の通りです。

6.1. 戦略的行動の優先順位

1.    C-SCRMの成熟度向上（短期～中期）：NIST CSF Tier 3以上への移行を目標とし、C-SCRMポリシーの全社的な正式化を推進します。特に、サプライヤーとのセキュリティ要件の契約による標準化、およびリスクを定期的かつ全社横断的に評価する仕組みを構築します。

2.    ゼロトラスト環境への移行とOT防御の強化（中期）： ランサムウェアの水平展開リスクを抜本的に排除するため、ZTAを標準アーキテクチャとして採用します 。同時に、ITとOTの厳格なネットワーク分離を徹底し、OT環境特有の脆弱性に対応するための防御策を導入します。

3.    PQC対応の戦略的準備（長期/即時開始）：Harvesting Attackのリスクに備え、機密情報保持期間の長いシステムを対象に暗号資産の棚卸を即時開始します。NISTの標準化動向 を注視しつつ、ハイブリッド暗号方式のPoCに着手し、将来の本格移行のためのリソースとコストを経営計画に組み込むことが、喫緊の課題です。

6.2.経営層への最終提言

サイバー攻撃による莫大な財務的損失は、事後的な対応や復旧によって全額を相殺することは困難です。企業の持続可能性を確保するためには、平時からの徹底した仕組み作りと、属人化を排した業務標準化、デジタルデータを活用した予防的なリスク管理をスピード感をもって取り組む必要があります。サイバーレジリエンスの確保こそが、今日の製造業における最大の競争優位性となるでしょう。

(Hiro.I記)

引用文献

1. 日系組立製造業における調達・サプライチェーンリスク対応の実態調査～108社への調査からみえた5つの障壁と突破への道筋～ | インサイト | ABeam Consulting Korea, https://www.abeam.com/kr/ja/insights/007/

2. まさか自分たちが？他人事ではない製造業のセキュリティリスク - KEYENCE, https://www.keyence.co.jp/ss/general/manufacture-tips/security-risk.jsp

3. アサヒビールを襲ったサイバー攻撃に関する 現時点での攻撃手法と対策の考察 - 三和コムテック, https://product.sct.co.jp/blog/security/asahi-cyberattack-methods-countermeasures

4. ランサムウェア攻撃よって発生する被害に関連するコストを把握する | BLOG | サイバーリーズン, https://www.cybereason.co.jp/blog/ransomware/2534/

5. Norsk Hydro's cyber insurance haspaid just a fraction of its breach-related losses so far, https://cyberscoop.com/cyber-insurance-norsk-hydro-lockergoga-attack/

6. Hackers hit Norsk Hydro withransomware. The company responded with transparency, https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

7. Frontline Insights: The Norsk Hydrocyberattack – a reflection on the importance of securing digital identities -DNV, https://www.dnv.com/cyber/insights/articles/frontline-insights-the-norsk-hydro-cyberattack-a-reflection-on-the-importance-of-securing-digital-identities/

8. Cyber-attack on Hydro, https://www.hydro.com/en/global/media/on-the-agenda/cyber-attack/

9. SP 800-161 Rev. 1, CybersecuritySupply Chain Risk Management ..., https://csrc.nist.gov/pubs/sp/800/161/r1/final

10. Cybersecurity Supply Chain RiskManagement Practices for Systems and Organizations - NIST Technical SeriesPublications, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf

11. Draft (2nd) NIST SP 800-161 Rev.1, Cybersecurity Supply Chain Risk Management Practices for Systems andOrganizations - CSRC, https://csrc.nist.rip/external/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1-draft2.pdf

12. 【業種別】ゼロトラスト導入事例13選｜導入の方法と成功のポイント - 株式会社クエスト, https://www.quest.co.jp/column/case-study-zero-trust.html

13. Colt、光ネットワーク全体で耐量子計算機暗号の実証実験を完了, https://www.colt.net/ja/resources/quantum-encryption/

14. 耐量子計算機暗号 （PQC）に関する概況 等について - 金融庁, https://www.fsa.go.jp/singi/pqc/siryou/20240920/siryou2.pdf

15. オンラインサービスにおける耐量子計算機暗号（PQC）技術の概念実証を開始 - PR TIMES,https://prtimes.jp/main/html/rd/p/000001045.000078149.html