安全なソフトウェア開発が OT サプライチェーン攻撃に対する第一の防衛線となる理由

2025 年 9 月 1 日、ジャガー・ランドローバー（JLR）の生産ラインが完全に停止したとき、それによる経済的損失はすぐ表面化し、かつ甚大なものでした。直接的な損失は 1 週間あたり約 6,700 万ドルにのぼり、経済的な影響の総額は 28 億ドルに達すると見積もられています。しかし、真の損害は自動車メーカーのバランスシートをはるかに超えたところにまで及びました。

この障害によるダウンタイムは、10 万 4,000 人の従業員を抱える JLR の広範なサプライチェーンに波及しました。サプライヤーはこの攻撃の影響で従業員を解雇せざるを得なくなり、英国政府は 20 億ドルを超える保証融資で介入しました。

JLRの攻撃は、厄介なパターンの一部だった：攻撃者はもはや個々の企業をターゲットにするだけではない。攻撃者は最小限の労力で最大の効果を上げるために、ソフトウェアのサプライチェーンを武器化しているのです。攻撃者が侵入する方法のひとつは、製造元やそのサプライチェーン・パートナーが使用するソフトウェアアプリケーションの開発ツールや開発プロセスをターゲットにすることです。ソフトウェア・プロバイダーが安全な開発手法を使用していることを確認することに警戒していなければ、JLRが受けたような攻撃を組織に許してしまうことになります。

製造、エネルギー、輸送、または重要インフラなどの運用技術（OT）環境にとって、サイバー攻撃に伴うリスクは極めて高いものです。攻撃は OT 環境のデータを危険にさらすだけでなく、生産エコシステム全体を停止させ、ダウンタイムのコストは 1 時間あたり数十万ドルに達することもあります。

それでもなお、多くの組織は調達評価の際に、財務の健全性、サービスレベル契約、およびインフラのセキュリティに重点を置いています。しかし、多くの組織は脆弱性が最も頻繁に侵入するポイント、つまりソフトウェア開発プロセスそのものを見落としています。例えば、Infostealer 型マルウェアは、攻撃者が何年も前の認証情報を悪用し、製造元のサプライチェーンシステムにアクセスすることを可能にします。

これは、根本的な弱点が境界防御ではなく、むしろ今日の産業運用を支えるソフトウェアサプライヤーの安全な開発ライフサイクルにあることを浮き彫りにしています。サプライヤーのシステムが脆弱なのは、現在のサイバー脅威に耐えられるように構築されていないためで、それが製造企業の OT システムをも脆弱にしています。

サプライヤーが厳格な安全なソフトウェア開発ライフサイクル （SSDLC） の実践に従っているという保証がなければ、製造企業はネットワークのセグメンテーションやエアギャップでは完全に排除できないリスクを引き継ぐことになります。

ビジネスへの影響は測定可能ですが深刻です。

• 運用ダウンタイム ：生産停止はジャストインタイムのサプライチェーン全体に連鎖的に影響を及ぼし、何千人もの労働者に影響を与え、納期の履行にも支障をきたすことになります。
• 経済的損失: 直接的な売上の損失のほか、リカバリ費用にはインシデント対応、システムの復元、規制上の罰金、潜在的な契約上の罰金などが含まれます。
• コンプライアンス違反: EUのNIS 2 指令、 DORA 、サイバーレジリエンス法などの規制は、現在、安全なソフトウェア開発プロセスの実施を明確に求めています。
• 風評被害：サプライヤーにとって、サプライチェーンの侵害における「弱点」と見なされることは、顧客からの信頼を恒久的に損なう可能性があり、将来的なパートナーシップからの排除につながるおそれもあります。

しかし、これは単にコンプライアンスのチェック項目を埋めるだけの話ではありません。それは、生産ラインを制御し、重要なシステムを管理し、産業オペレーションを接続するソフトウェアが、コードの最初の行から最終的な展開にいたるまで、セキュリティが組み込まれていることを保証することを意味します。

IEC 62443 規格群は、特に産業オートメーションと制御システムのセキュリティに対応しています。この枠組みの中で、IEC 62443-4-1 は、安全な製品開発ライフサイクル要件にのみ焦点を当て、OT ソフトウェアサプライヤーを評価するための最も厳格で適切な基準を提供しています。

一般的な情報セキュリティフレームワークとは異なり、 IEC 62443-4-1 認証は、サプライヤーが以下を実装していることを証明します。

• 設計によるセキュリティ: コードが書かれる前に、セキュリティ要件が定義され、脅威がモデル化されている。
• 安全なコーディングの実践: 開発者は適切なトレーニングを受け、コードは必須のレビューと自動化されたセキュリティテストを経ている。
• 依存関係管理: サードパーティ製コンポーネントは、ソフトウェア部品表（SBOM）の運用を通じて、審査・追跡・保守が行われている。
• 安全なリリースパイプライン: 更新は署名され、完全性が検証されたうえで、強化されたチャネルを通じて配信される。
• 脆弱性管理: セキュリティ上の問題に対して、協調的な情報開示プロセスと明確に定義された対応タイムラインが整備されている。

製造業や重要インフラ分野の OEM、システムインテグレーター、エンドユーザーにとって、 この認証は、ソフトウェアサプライヤーが「セキュリティを約束するだけ」ではなく、 その取り組みが第三者機関によって客観的かつ具体的に検証されている証拠となります。OEM においてはすべての製品に体系的にセキュリティを組み込んでいます。

アクロニス は、ISO/IEC 27001 、 ISO/IEC 27017、ISO/IEC 27018、CSA STAR Level 2 に加え、IEC 62443-4-1 認証を取得しており、IT および OT の環境で安全な開発プラクティスに対する包括的な取り組みを実証しています。

この認証は、 Acronis Cyber Protect for OT およびその他のアクロニスの製品が、産業環境の現実を想定して設計された、厳格で独立機関によって検証されたセキュリティ慣行を使用して構築されていることを証明するものです。

• 統一されたプラットフォームによる IT システムと OT システムの保護
• グローバルなオペレーション全体にわたってスケーラブルに展開でき、拠点ごとの手動対応を必要としないバックアップおよびリカバリ機能
• アップタイムが重要であり、従来のパッチ適用が制限される環境向けに設計されたセキュリティコントロール
• NIS 2、 DORA、 IEC 62443、およびセクター固有の規制に対応する組織のコンプライアンス遵守のサポート

新しいインフォグラフィックでは、 SSDLC と Acronis の認証について詳しく説明しています。このインフォグラフィックはアクロニス自身の認証取得の過程から得られた知見をもとに、以下のユーザーに対して実践的な指針を提供しています。

• OT サプライヤーを評価する企業のエンドカスタマー
• 顧客に対して安全な開発を実証する必要があるOEM
• レジリエントな産業ソリューションを構築するシステムインテグレーター

インフォグラフィックをご覧いただけば 、サプライチェーンセキュリティを事後対応型の防御から標準に基づく予防的な保証体制へと移行するためのポイントが視覚的に理解できます。