事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性

  • 2025-05-19

1. 業界の要請から国際規格へ準拠しなければならないケースが増えている

1-1. グローバルビジネス、サプライチェーンの拡大に伴う規格準拠の重要性

グローバル化の進展により、日本企業も海外企業との直接取引や国際的なサプライチェーンの一端を担うケースが増えています。これに伴い、国際的に認知されたセキュリティ規格への準拠が、事実上の取引条件となる場合も珍しくありません。特に、自動車業界においてはTISAX(Trusted Information Security Assessment Exchange)の利用が欧州自動車メーカーを中心に広がり、サプライヤー企業にも高水準の情報セキュリティ対策が求められています。さらに、ISO/IEC 27001といった国際規格の認証取得を条件とする取引先も増えています。

1-2. 審査・監査における「物理セキュリティ」の評価項目

これらのセキュリティ国際規格や海外事業者に対するセキュリティ監査プロセスでは、サイバーセキュリティの側面だけでなく、物理的なセキュリティ対策にも焦点が当てられています。

  • オフィスエリアやサーバールーム、工場拠点への入退室管理
  • 機密文書・端末などの保管環境の厳格化
  • 監視カメラや警備体制などの防犯対策

これらが「ルールが定められており、適切に運用されているか」が、書類審査や現地訪問で確認される項目に含まれています。

3. 物理空間を巻き込んだ包括的な対策の検討

3-1. 物理空間を考慮したサイバーセキュリティ対策が重要

サイバー攻撃が巧妙化している現代において、ITシステムへのウイルス対策ソフトの導入やログ監視などの多層防御技術を用いて、外部からの攻撃に対する防御策は一般的に普及しつつあります。

一方、内部に侵入してからの攻撃によるインシデント対策は不十分です。

  • 清掃・警備スタッフを装った第三者がこっそり社内に侵入し、PCやサーバーにUSB機器を差し込み、データを窃取
  • 保守業者により、生産制御システム(OTシステム)に直接接続される端末が物理的に操作され、侵入のバックドアが設置される
  • 従業員の転職時に技術情報が持ち出されるなど

日常業務の利便性を確保しつつ、内部犯行やなりすましに対処するのは容易ではありません。従業員教育や啓発だけでは十分でないケースが多く、フィジカル空間のセキュリティ対策を拡充することで、ハイブリッドな脅威に対する包括的な防御が可能となります。

3-2. 従来のペネトレーションテストの枠組を拡張して、実際に侵入を試みて脆弱性を可視化

サイバーセキュリティの世界では、脆弱性診断やレッドチーム演習(攻撃者視点からの侵入シミュレーション)が一般化しつつあります。しかし、物理セキュリティに関しては「机上でチェックリストを点検する」だけに留まりがちです。このギャップを埋めるために、海外で注目を集めているのが「サイバーフィジカルセキュリティペネトレーションテスト(物理ペンテスト)」です。

具体的には、専門家チームが企業施設への侵入を実際に試み、以下のようなポイントを検証します。

  • 入退室管理システムの突破(ICカードの複製やピギーバッキング等)
  • 監視カメラ・警報装置の死角をついた行動
  • 受付・守衛・警備員へのソーシャルエンジニアリング(訪問者偽装)
  • 不正な接続機器(USBやLANケーブル)の持ち込み・使用
  • 物理的センサーや防犯装置の無効化

これらのテスト結果を踏まえて、ハード面(設備・装置)とソフト面(内部犯行を意識した技術対策・運用ルール・従業員教育)の両方で改善策を提案し、実行につなげる、これらが物理セキュリティを含めた包括的なセキュリティ水準強化のカギです。

3-3. 統合的なリスク評価が海外取引の信用にも直結

海外の企業では、「サイバーとフィジカルを統合した脆弱性評価を実施しているか」を、取引や投資の判断基準に含める動きも加速しており、サイバーフィジカルセキュリティ対策の重要性が国内にも普及していく可能性は十分に考えられます。

  • CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)発行の「Cybersecurity and Physical Security Convergence Action Guide」では、物理侵入とサイバー侵入の境界が曖昧になっている今こそ、統合的な評価が必須と強調
  • NIST SP 800-53(米国の連邦情報システム向けセキュリティコントロール)でも、物理的アクセス制御をサイバーセキュリティ要件と同列で扱う流れがある

4. 物理・サイバー両面での包括的なセキュリティ対応を

企業においては、物理・サイバーの両面でセキュリティをとらえ、侵入テストによるリスクの特定から、特定したリスクを低減するための運用が必要となります。主要な対応策を例示して解説します。

4-1. フィジカル&サイバー統合の侵入テスト(レッドチーム演習)

物理セキュリティペネトレーションテストとサイバー脆弱性診断を組み合わせた、統合的なレッドチーム演習が有効です。具体的には下記のステップを通じて、組織の防御体制を総合的に検証・強化します。

図表1:フィジカル&サイバー統合の侵入テストの流れ

  1. 現状ヒアリング・リスクアセスメント
    • 拠点規模や設備状況、運用ルール、従業員数などを把握し、侵入テストで焦点を当てるエリアを特定
  2. 物理的な侵入シナリオの策定
    • 尾行侵入、清掃業者なりすましなど、実際に起こり得る攻撃パターンを複数想定し、シナリオ化
  3. サイバー脆弱性診断との連携
    • 物理侵入後に、社内ネットワークへ不正接続できるか、機器やアプリケーションの脆弱性を突けるかなど、サイバー面まで一貫して評価
  4. レポート作成と改善提案
    • 発見した脆弱性を列挙し、ハード面(設備・装置強化)とソフト面(運用・教育・権限管理)の両軸で具体的な対策を策定
    • 経営層や現場担当へのフィードバックセッションも実施し、社内浸透と改善の計画を策定

4-2. 防御体制の構築運用および認証取得に向けたエビデンス整備

侵入テストや診断結果を踏まえたあとの運用フェーズにおいては、セキュリティレベルの維持や監査・企画への継続的な準拠活動が重要となります。

図表2:防御体制の構築および認証取得に向けたエビデンス整備

  • 警備・入退室管理システムの最適化
    • カメラ設置位置やゲート設計の見直し、ログ管理体制の強化など、具体的なソリューションを導入
  • OTシステムのセキュリティ設計
    • 工場やプラントなどの制御システム(OT)について、サイバー攻撃を物理的に遮断するネットワーク構成や、リモートアクセス制御の強化を実施
  • 従業員教育・内部統制プロセス構築
    • なりすまし対策や情報持ち出し防止に向けた研修プログラムの作成、内部統制ルール(権限管理、端末管理など)を現場に定着
  • 監査・規格準拠のエビデンス整備
    • TISAX、ISO/IEC 27001などの審査で求められる物理的・サイバー的なセキュリティ要件を満たすための改善計画、ドキュメント作成

おわりに:今こそ「物理不正アクセスを考慮したサイバーセキュリティ対策」の再点検を

サイバーセキュリティ領域では高度な脆弱性診断やSOC(セキュリティオペレーションセンター)体制を構築していても、物理的な脆弱性を放置していては片翼だけの防衛に過ぎません。

グローバル基準への準拠の必要性が急激に高まっている今こそ、物理セキュリティを再点検し、物理空間、サイバー空間の両方を考慮したペネトレーションテスト等の実践的なアプローチを導入し、ハイブリッドな脅威に対する包括的なセキュリティ対策を実装する絶好のタイミングではないでしょうか。

社員の意識改革や監査・取引先への説明といった副次的なメリットも含め、企業全体として「物理・サイバー両面の包括的セキュリティ(サイバーフィジカルセキュリティの高度化)」を実現することが、これからのグローバル競争力を支える要石となりえます。

執筆者

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

道輪 和也

ディレクター, PwCコンサルティング合同会社

Email

保泉 拓哉

マネージャー, PwCコンサルティング合同会社

Email

脇田 典午

シニアアソシエイト, PwCコンサルティング合同会社

Email

サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応

54 results
Loading...

望ましいサイバーセキュリティの未来(銀行業界編)

スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。

Loading...

インサイト/ニュース

40 results
Loading...
Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how