第1部　ものづくり基盤技術の現状と課題
第1章　我が国ものづくり産業が直面する課題と展望第3節　価値創出に向けたConnected Industriesの推進

第四次産業革命によるデジタル技術の進展に伴って、あらゆるものがデータという媒体の下でつながることによって付加価値創出を目指すConnected Industries。しかし、つながると一口に言っても、自前主義偏重の風土の中で、データ連携などを通じて他企業とのつながりを持った経験が乏しい日本企業においては、競争領域と協調領域との区分けがうまくできないことに起因する心理的なハードルに加えて、つながる際のセキュリティ確保やデータなどの権利関係の問題など、多くの解消していくべき横断的課題が存在する。

技術革新やビジネスを取り巻く環境が大きく変化する時代においては、自社外のリソースを迅速かつ有効に活用していく姿勢が不可欠であるが、自前主義の呪縛から脱却できていない向きがある。また、実際につながることで結果的に付加価値創出などを実現した取組の萌芽が徐々に出てきてはいるものの、つながることで得られたデータなども活用して企業全体や企業間のつながり全体での最適化を図り、得られた利益が企業を超えて再分配されるようなバリューチェーン全体を俯瞰して取り組んでいくことが求められている。

以上のように、つながる上での横断的課題は数多く存在するが、ここでは主に、つながる際に必要となるサイバーセキュリティ対策、様々なつながりを組み合わせて価値創出を図るにあたって鍵となるシステム思考・全体最適化、そして取組の面的広がりを可能とするエコシステム的な発展の必要性、そしてそのうち特にアジリティが高く、新たな分野に果敢に取り組むなど価値創出の観点から重要性の高いスタートアップに関して取り上げることとする。

（１）サイバーセキュリティ対策の必要性

Connected Industriesの実現に向けては“つながる”ことが核であり、つながる際の安全性確保は必要不可欠である。IoTなどのデジタル技術ですべてのヒトとモノがつながる産業社会では、サイバー攻撃の起点が増大し、セキュリティを担保する必要がある領域が拡大している（図135-１）。

また、サイバー空間とフィジカル空間が高度に融合するサイバーフィジカルシステム（CPS）時代においては、サイバー攻撃がフィジカル空間まで到達する可能性が高まってきている。さらに、IoTから得られる大量のデータをサプライチェーン間など流通・連携する場合にはサイバーリスクの範囲が一層拡大するため、つながる企業が相互に十分なサイバーセキュリティ対策を取っていくことが求められている。

（ア）我が国製造業におけるサイバー攻撃の被害状況

上述のとおり、サイバー攻撃の起点が増大したことにより、年々攻撃は増加している。例えば、実際に、2017年５月、世界の少なくとも約150か国において、Windowsの脆弱性を悪用したランサムウェア「WannaCry」に感染し、感染した欧州企業からサプライチェーン経由で日本の国内企業も感染したという事案が発生した。このように、サプライチェーンが複雑になるにつれて、脅威・被害が増大する事案も増えてきている。経済産業省が2017年12月に行ったアンケート調査において、サイバー攻撃の被害の有無を確認したところ、全体の約１割程度の企業が被害ありと回答した（図135-２）。

なお、規模別では、大企業ほど被害を受けた割合が高い（図135-３）。このように、まだ割合は少ないものの、国内企業においても、一定の割合でサイバー攻撃による被害が発生していることが分かる。

（イ）機密管理などのセキュリティ対策

このようなサイバー攻撃などに備えて平常時からセキュリティ対策をとっていくことが一層求められているが、サイバーセキュリティ対策以前に、社内の秘匿性の高い情報の管理などの通常のセキュリティ対策への対応がまず必要となってくる。前述のアンケート調査において機密管理などのセキュリティ対策の実施の有無を尋ねたところ、十分な対策をとれていない企業が全体の約７割存在した。また、「そうした対策の必要性を感じない」企業が5.2％も存在し、一般的なセキュリティ対策への感度の向上及び対策の推進が必要であることがうかがえる（図135-４）。

加えて、何らかのセキュリティ対策をとっている企業に対しその内容を尋ねたところ、「情報へのアクセスや持ち出しなどへの制限の設定」、「セキュリティ対策の担当者の設置」、「セキュリティ対策に関する意思決定者･責任者の明確化」、「セキュリティ対策に関するガイドラインの策定」の順で割合が高くなっており、データの取扱ルールの設定やセキュリティ対策のための体制構築が対策の中心となっていることが分かる（図135-５）。

次に、以下では、ものづくり産業におけるサイバーセキュリティに関する現状認識とその対策について概観する。

（ウ）サイバーセキュリティ対策

2017年12月に行ったアンケート調査において、サイバーセキュリティ上の問題に対して不安を感じると答えた企業（非常に不安を感じる、不安を感じると回答した企業の合計）は、全体の４分の３に及んだ（図135-６）。

サイバーセキュリティ上の問題で最も不安を感じる事態としては、「システム障害や工場の稼働停止など､生産や業務への支障」が最も多かった（図135-７）。

一方、あまり不安を感じない、もしくはまったく不安を感じない企業について、その理由を尋ねたところ、大企業では「十分な対策をとっているため」という回答が多かった一方で、中小企業は「自社はターゲットになると思えないため」と回答した企業が多く、中小企業におけるサイバーセキュリティへの危機意識が低い可能性がある（図135-８･９）。

サイバーセキュリティ上の問題に対して不安を抱える企業が多い一方で、サイバー攻撃の脅威やそれに向けた対応策の必要性などの気付きを中小企業に与え、危機意識を喚起させることができるかが今後対応策の鍵を握る。

また、今後サプライチェーン間や同業種・異業種間でデータを流通・連携させる場面が増えてくると予想される中で、つながる先である他企業側におけるサイバーセキュリティ上の不安感について尋ねたところ、自社におけるサイバーセキュリティ上の問題への不安感と比べると低い割合であるが、不安を感じている企業は全体の半数強を占める（図135-10）。

さらに、製造業に限った調査ではないものの、つながる先となりうる業務委託先や物品調達先のサイバーセキュリティ対策の状況をどの程度把握しているかについて、独立行政法人情報処理推進機構（IPA）が日本、米国、欧州の企業向けにアンケート調査を実施したところ、我が国で「十分に確認できている」と回答した企業は、米国の半分程度、欧州の３分の２以下であり、つながる先の企業のサイバーセキュリティ対策について不安を感じる一方で、詳細まで把握することができていない実態が見て取れる（図135-11･12）。

上述のようなサイバーセキュリティ上の問題に対する認識のもとで、実際に我が国ものづくり産業が現状取り組んでいるサイバーセキュリティ対策としては、「データ等のバックアップ」が最も多く、「最新情報の収集､ソフトウェア･設備の常時アップデート」、「ソフトウェアや設備の導入」が次ぎ、現状は、サイバーセキュリティ対策のための体制を構築することよりもデータのバックアップやソフトウェア導入で対応することが重視されている。一方で、現在の対策から今後の対策への変化に着目すると、「社員の訓練･研修や人材確保」、「適切な管理体制の構築」、「ガイドラインの整備」、「別のシステムへの代替･切替を行う体制構築」といった体制面で充実させていく方向性が顕著である（図135-13）。

また、実際のサイバーセキュリティ対策の実施状況・方法について尋ねたところ、「専門的なノウハウがないが､自社内で可能な対策を実施」が最も多く、44.7％。「専門ノウハウをもとに、必要な対策を実施」と合わせると、50％強が自社内で実施している一方、外部との連携を含め専門ノウハウを活用して対応している企業が約４割強という構図であった（図135-14）。

規模別にみると、大企業は「専門ノウハウをもとに､必要な対策を実施」「専門事業者等と連携し､自社主導で対策」の割合が高く、専門的な対策を自社主導で推進している一方で、中小企業は、「専門的なノウハウがないが、自社内で可能な対策を実施」が最も多く（45.5％）、他方で、専門家任せ（23.6％）も多い（図135-15）。

一方で、実際にサイバーセキュリティ対策を実施していくにあたっては、様々な障害が存在する。サイバーセキュリティ対策を実施する際の障害について尋ねたところ、「社内にサイバーセキュリティ対策を行える人材がいない」、「大きなコストがかかり投資が困難」の順で割合が大きく、何をするかや誰に相談するかという課題よりは、経営資源面（人材・投資）が課題として大きく認識されている傾向にある。一方、４分の１の企業は「特に障害はない」と回答している（図135-16）。

なお、規模別では、中小企業では人材不足、大企業では対策を講じるための投資がネックとなる傾向にあることがうかがえる（図135-17）。いずれにしても、企業規模を問わず、サイバーセキュリティ対策を理解し実現できる人材の確保に向けた取組や対策導入に向けて費用対効果を勘案した投資判断が今後は鍵を握る。

これまで概観してきたとおり、各企業がIoTなどのデジタル技術を活用して生産性向上やビジネスモデルの転換を図っていくためには、セキュリティ問題への危機感を認識した上で対策を実施していくことが重要である。ただし、むやみに対策を実施することは得策ではなく、当然のことながら、実際に対策を実施する前に、組織としてのセキュリティ対策方針を定め、経営層以下が共通認識のもとで対策を実施していくことが重要である。特に、サプライチェーン全体への影響を及ぼすサイバー攻撃が増えており、サプライチェーンにおける企業間でのデータ流通や連携が一層行われていく中では、従来の各社に閉じたセキュリティ対策の枠を超えて、サプライチェーン全体でのセキュリティ担保を図っていく方針を策定していくことが求められる。

また、実際に対策を行っていくにあたっては、企業側の自助努力もさることながら、それらについて政策的な後押しをすべく、経済産業省としても様々な取組を実施・検討しているところである。

そこで、以下では、各企業がセキュリティ対策方針を策定する際に留意すべきことを分析するとともに、サイバーセキュリティ対策を後押しする政府の取組を概観する。

（エ）サプライチェーン全体の可用性を考慮したセキュリティ対策方針の策定

各企業が社内においてセキュリティ対策方針を策定していくにあたっては、上述のとおり、サプライチェーン全体の可用性を考慮した方針の策定が一層求められている。

この点、まず始めに、セキュリティ対策を講じるべきデータの範囲がどこまでなのか、つまりは、どこまで他社とデータを共有すべきかという論点が存在する。自社の競争力を阻害しないように、他社とデータを共有する前に自社の事業の競争力の源泉がどこにあるのか、また、どのデータを共有することで価値を生み出すことができるのかという視点を持って、セキュアに共有すべきデータと、共有を避けるべきデータを峻別することが企業には求められる。また、実際の峻別に際しては、リアルタイム性・制御が求められる一次データの処理は社内のエッジデバイスで処理し、外部共有用に加工した二次データをクラウド上で他社に共有するというやり方や、データの仲介を行う第三者企業を活用するやり方などが考えられる。

次に、他者と共有するデータを峻別した上で、実際に他社とネットワーク接続する際には、そのリスクをどのように担保・管理するかが論点となる。自社内のネットワーク・機器を把握しリスク管理をすることは可能であるが、他社を含む広域なネットワーク上のリスクを自社ですべて管理することは困難である。そのため、ネットワーク上の利害関係者（パートナー企業や外部ベンダーなど）との間で役割・責任を明確にすることが重要となり、個別の契約における役割・責任の明確化や第三者機関による認証済製品・サービスの利用などが対応策としては考えられる。なお、第三者機関による認証済製品・サービスの利用については、米国・EU・日本において制度設計の議論が開始されているところである。

（オ）ものづくり企業のサイバーセキュリティ対策を後押しする政府の取組

次に、ものづくり企業におけるサイバーセキュリティ対策の方向性に関して、以下のとおり、概観する（図135-18）。

今までアンケート調査結果をもとに分析してきたとおり、まず始めに、そもそもサイバーセキュリティ上の問題への危機感が乏しい中小製造業などに対して、最初の気づきや対策の必要性の理解をどのように与えていくべきかが論点となる。その点、危機意識を喚起するためには、セミナーなどの継続的な草の根活動の実施など、本話題に触れる機会をより多く提供することが重要となってくる。また、中小企業を中心にサイバーセキュリティという観点におけるリスクを認識してもらうことが必要であり、経済産業省では、各社がセキュリティ対策の目標を宣言し実際の対策を促すための自己宣言制度（SECURITY ACTION）を創設するとともに、さらに、今後は業界水準と比較した自組織の立ち位置を把握するためのリスク評価ツールを策定することを通して、更なる意識啓発を図っていく予定である（図135-19）。

次の段階として、危機意識を持ち、かつ対策の必要性を理解したとしても、着実に対応に移していくためには、実際にどのような対策を講じるべきかを把握していくことが必要となってくる。そのためには、一連のサイバーセキュリティ対策の流れを網羅的に把握する必要があり、経営層や現場層などそれぞれの視点から見た、セキュリティ対策に関するガイドラインの整備が有効であると考えられる。さらに、個社に閉じた対策にとどまらず、Society5.0におけるサプライチェーン全体にわたる対応策が一層求められてくる中で、サプライチェーン全体のセキュリティリスク・ポイントを明らかにし、リスク評価手法や認証・確認方法を定め、企業の指針と位置付けることも有効である。この点、経済産業省では、2017年12月に立ち上げた「産業サイバーセキュリティ研究会」のWG１において、「サイバー・フィジカル・セキュリティ対策フレームワーク」策定の検討を開始している（図135-20）。

続いて、対応策を網羅的に把握した上で実際に対策に移していく際には、担い手となる“人材”と、人材配置やソフトウェアの導入などに係る“投資”の双方が求められる。まず、人材確保に関しては、「社内で確保すべき人材確保」と「社外で調達可能な人材確保・社外リソースの活用」とに大別される。社内で確保すべき人材としては、ビジネスや技術を理解した上でサイバーセキュリティのリスクを把握し経営トップともコミュニケーションが取れる中核人材や実際にサイバーセキュリティ対策を講じることができる人材などである。社内の人材育成については、リカレント教育やOJTなどの実施が有効であるが、この点、独立行政法人情報処理推進機構（IPA）において、2017年４月１日に産業サイバーセキュリティセンターを発足させ、既存従業員などに対する中核人材育成プログラムを開始した。一方で、社外での調達可能な人材確保や社外リソースの活用については、現時点において日本の中でのサイバーセキュリティの専門家は数が限られており、リソースを他社と共同で活用するなどの対応策を検討する必要があると考えられる。また、外部ベンダーや専門家を活用していくに際しても、利用するサービスが一定の品質を備えたものか否かが明確にならないと、中小企業を中心に活用に対して二の足を踏んでしまう可能性がある。そのため、経済産業省においては、情報セキュリティサービスが、最低限の品質を維持するために満たすべき基準として「情報セキュリティサービス基準」を2018年２月28日に公開し、同時に、独立行政法人情報処理推進機構（IPA）に対し、「情報セキュリティサービス基準」に適合するセキュリティサービスのリストを公開することを依頼した。リストを参照することで、中小企業は一定の品質維持向上が図られているセキュリティサービスを利用することが可能になる。（図135-21）。

ソフトウェアの導入などに係る“投資”を後押しするという観点では、導入に対して、税制などの支援策とともに、今後は費用対効果を経営者にわかりやすく伝えられるような取組も必要となってくる。また、実態では多額の資金を伴わない対策（複雑なパスワードの設定や社員のIT教育など）によって多くの脅威は取り除けるという側面も存在するため、そのような観点を持つことも必要となる。

以上のように、サイバーセキュリティ対策はビジネスリスクを伴うものであるがゆえに、段階に応じてきめ細かい対応策を実施していく必要がある。

<<前ページへ | 目次 | 次ページへ>>