製造業で情報漏えいが致命傷になりやすい背景
デンソーでサイバー攻撃が発生し、「一部のデータが第三者に不正に抜き取られた可能性」が示された。製造業の情報資産は顧客情報に限らず、設計図面、BOM、工程条件、原価、取引条件、品質不具合、従業員情報など広範である。これらは競争力と取引信用に直結し、漏えいは中長期の事業影響になりやすい。
実害は知財・ノウハウ毀損だけでなく、取引先への説明責任、偽造品・模倣品リスク、価格交渉力低下、契約違反や規制対応による損害へ波及する。情シスは「停止対策」だけでなく「窃取・公開脅迫」を前提に、守るべきデータと証跡を定義しておく必要がある。
侵入から窃取までの典型シナリオ
近年は暗号化で止めるだけでなく、事前に窃取して公開を示唆する二重脅迫が一般化している。「抜き取られた可能性」と表現される局面では、外部送信の痕跡が疑われる、または侵害範囲が確定できず到達可能性を否定できない状況が多い。製造業はITとOTが併存し、拠点分散や委託先接続が多いため横展開の機会が増える。
侵入経路としては、VPNやリモートアクセスの認証突破(MFA未徹底、脆弱性放置、パスワード使い回し)、委託先・関連会社経由、標的型メールによる認証情報窃取が典型である。侵入後はActive Directoryの掌握を狙い、ファイルサーバー、仮想基盤、バックアップへ展開して窃取と破壊を連鎖させる。
漏えい疑い発生時の初動:封じ込めと証拠保全
「可能性」の段階でも初動の精度が被害を左右する。拙速な遮断はログや揮発性情報を失い、後続の影響評価と対外説明を困難にする。技術対応とガバナンスを並走させ、タイムライン復元に必要な証跡を確保することが重要である。
実務では、不審アカウント無効化、侵害端末隔離、外部通信の暫定制限を行いつつ、認証・EDR・FW/Proxy・DNS・クラウド監査ログを優先保全する。漏えい範囲推定には平時のデータ分類と保管場所の棚卸しが効き、機微情報が共有フォルダに混在していると評価が遅れる。対外説明は「確定事項」と「調査中」を峻別し、契約・法務対応を同時に進める。
再発防止の優先順位:認証・分離・監視・委託先統制
効果が出やすい順に手を打つ。まず外部公開資産(VPN、メール、SaaS)へMFAを標準化し、特権IDは分離してJITやPAMで常用を避ける。次に拠点間・部門間・IT/OT間の分離と最小権限通信を徹底し、AD・ファイルサーバー・バックアップは管理ネットワーク分離と厳格なアクセス制御を優先する。
検知面ではEDRの全社展開とログ統合監視を前提に、アラート優先度設計、当番体制、封じ込め手順まで運用を作り込む。バックアップは多重化とオフライン/イミュータブル化、復旧訓練、権限分離を必須とする。サプライチェーンは契約にMFA、端末要件、ログ提供、アクセス時間制限、脆弱性対応SLA、インシデント連絡を落とし込み、接続は最小権限・最小期間で設計する。