自動車サプライチェーンを守る 〜 MUSHIKAGOによる「IT資産の自動可視化」から始まる工場のセキュリティ対策

1. 背景：自動車業界を取り巻く「サプライチェーン・セキュリティ」の要求

昨今、モビリティ・サービスへの変革期を迎えている自動車業界においては、ITの利活用に伴って扱うデータが増加しています。このような状況でサプライチェーンをサイバー攻撃等による情報漏洩や生産停止リスクから守るため、業界全体でのリスク管理とセキュリティ対策が重要となっており、JAMA/JAPIA（日本自動車工業会/日本自動車部品工業会）が定めるサイバーセキュリティガイドラインへの準拠が推進されています。

アイシン福井様においても、自動車部品の安定供給という社会的責任を果たすべく、工場のセキュリティに関して年々取り組みを強化していました。

2. 課題：広大な工場での資産管理

デジタル化が進む製造現場においてセキュリティ対策を推進するためには、まずネットワークの「どこに」「何が」繋がっているかを正確に把握するインベントリ（資産台帳）が不可欠です。しかし広大な敷地で大規模な生産活動を行う工場の現場では、以下のような課題がありました。

工場の製造装置には制御用PCや通信モジュールなどが組み込まれていますが、外観からはIT機器と認識しにくい資産が多くあります。装置の導入・運用を行っている担当者でも十分に把握しきれていない場合があるため、IT担当者が調査して全てを把握することは一層難しい作業でした。

・人では不可能な大規模な調査・診断

広大な工場には多数の生産設備が分散しています。アイシン福井様の例では、その数はIPアドレス数にして数千を超えるような規模になります。
また適切なセキュリティリスクの管理や発見されたリスクへの対処をするには、各IT資産のOS種別、バージョン、サービス種別などの一歩踏み込んだ情報管理と、詳細な脆弱性診断^*1が必要になります。この規模の作業を人力や半自動で続けることは、限界に近づいていました。

・変わり続ける工場と情報の更新作業

工場では製造装置の移設や設備更新が不定期に行われます。それらに追従して資産台帳を最新に保ち続けることは難しい状況でした。
また大規模なセキュリティ対策の実施の際には、作業進捗をリアルタイムに管理する方法も必要となっていました。従来の定期的な棚卸し方法では、十分でないことは明らかでした。

3. MUSHIKAGOを選んだ理由：導入容易性と機能性のバランス

数あるツールの中でMUSHIKAGOが選ばれたのは、工場の稼働に影響を与えず、設置するだけでネットワーク内の資産を自動的に洗い出す「エージェントレス^*2なスキャン能力」が評価されたためです。

4. 導入の効果：IT資産の動きを「毎日自動」でリアルタイムに把握

MUSHIKAGOの導入により、アイシン福井様のサイバーセキュリティ対策において、以下のような効果がありました。

5. 今後の展望：セキュリティを競争力に変えていく

アイシン福井様は、MUSHIKAGOを利用したIT資産の見える化や脆弱性診断に続き、ぺネトレーションテスト^*3（侵入試験）を通じたさらなるセキュリティ対策にも着手していく予定です。
MUSHIKAGOはIT資産の見える化から脆弱性診断、ぺネトレーションテストまでを一気通貫で実施することができる製品です。アイシン福井様と共に、自動車業界のセキュリティ対策をこれからも支えていきます。

---

※1 脆弱性診断：IT資産に攻撃の糸口となる設定不備や古いソフトがないかをチェックする作業
※2 エージェントレス：既存の設備に調査用のソフトをインストールする必要がない（エージェントレス）ため、装置の不具合や停止リスクを抑えられる
※3 ぺネトレーションテスト：システムの弱点を見つけるだけでなく、実際に攻撃者の視点で侵入できるルートがあるかを確認する、より実戦に近い検証