サイバーセキュリティ

ランサムウェアから
工場を守る

製造業のOTリモートアクセス対策

2025年秋、日本の製造・物流業界を支える大手企業が、相次いでランサムウェア被害を公表しました。攻撃者は工場のPLCを直接狙わずとも、データセンター・物流・受注システム・管理者アカウントを押さえれば、生産・物流の現場は止まります。OTリモートアクセスの入口管理から、製造業が今すぐ見直すべき対策を解説します。

デモを予約する資料請求する

2025年の現実

2025年、製造・物流業を襲った
ランサムウェアの現実

2025年秋、日本の製造・物流業界を支える大手企業が相次いでランサムウェア被害を公表しました。攻撃の入口を整理すると、多くは2つのパターンに集約されます。

攻撃パターン 1

業務委託先アカウント侵害型

装置メーカー・保守会社・SIerが利用する管理者アカウントがMFA未適用のまま放置され、認証情報を盗まれた攻撃者が正規ルートから侵入します。委託先経由で本体システムまで横展開され、生産・物流が停止します。

攻撃パターン 2

ネットワーク機器経由侵入型

VPN装置・ファイアウォール・ルータの脆弱性や公開された管理ポートを狙われ、外部からネットワーク内部に侵入されます。一度内部に入られると、横展開によって工場・データセンター・物流システムへ被害が拡大します。

ランサムウェア対策は、マルウェア検知だけでは不十分。
「誰が・どこから・何に接続できるか」を制御する入口管理が前提になります。

対策パターン 1

攻撃パターン1 —
業務委託先アカウント侵害型

MFA未適用の管理者アカウント、恒久的に有効な権限、委託先経由の侵入。これらに対しては、アカウント侵害そのものを抑止する設計と、侵害後に被害を局所化する設計の両方が必要です。

①

外部ベンダーアクセス管理

承認制・時間制限・装置単位の権限制御・監査ログ。装置メーカー・保守会社の恒久的アカウントを排除します。

詳しく見る

②

JITアクセス（Request for Access）

接続前に申請を行い、管理者が承認した期間のみ接続を許可。常時アクセス権限をゼロに近づけます。

詳しく見る

③

セッションレコーディング

RDP・VNC・SSH・Telnetの操作を映像として90日間保存。インシデント発生時の原因究明と監査対応に活用できます。

詳しく見る

④

MFA・SSO・IDプロバイダー連携

Entra ID等のIDプロバイダーと連携し、認証情報のみでの接続を不可能に。アカウント侵害を初期段階で遮断します。

詳しく見る

対策パターン 2

攻撃パターン2 —
ネットワーク機器経由侵入型

VPN・FW機器が公開する管理ポートや脆弱性を狙われ、内部に侵入された後に横展開で被害が拡大します。そもそも公開口を作らない設計と、横展開を抑える境界制御が鍵です。

⑤

アウトバウンド通信のみのSiteManager

ゲートウェイがTCP/443のアウトバウンド通信のみで動作。インバウンド開放・グローバルIPが不要で、公開口そのものを排除します。

詳しく見る

⑥

装置単位のアクセス境界

ユーザは認可された装置にしか接続できません。VPNのように「ネットワーク全体」に到達しないため、横展開を抑制します。

詳しく見る

⑦

OT特化ゼロトラスト設計

「信頼せず、常に検証する」原則をOT環境向けに実装。ITゼロトラストの単純流用ではなく、可用性・安全性を最優先にした境界制御です。

詳しく見る

役割の明確化

Secomeaが対応できる範囲・
対応外の範囲

ランサムウェア対策は多層防御で成立します。Secomeaは「入口を守る」専門製品として、他のセキュリティ製品と組み合わせて全体を構成します。

対応領域

リモートアクセス入口管理
外部ベンダーアクセス管理
ゼロトラスト・JITアクセス
セッション録画・監査証跡
IEC 62443準拠の技術実装

対応外領域（別製品との組み合わせが必要）

EDR/XDR（エンドポイント保護）
SIEM/SOC（統合ログ監視）
バックアップ（イミュータブル・オフライン）
特権ID管理（PAM）

Secomeaは「リモートアクセスと外部ベンダーアクセスの入口を守る」専門製品です。
EDR・SIEM・バックアップと組み合わせることで、ランサムウェアに対する多層防御が成立します。

セルフチェック

今すぐ見直すべき
7つのチェックポイント

ランサムウェア被害企業に共通する「侵入の入口」を、自社環境で同じ状態にしていないかを確認するためのチェックリストです。

VPN・個別リモートツールが乱立していないか

外部ベンダーのアカウントが長期間有効なままになっていないか

MFAの例外がないか

管理者権限が広すぎないか

接続後にどの装置へアクセスしたか追跡できるか

セッション録画や監査ログを残せるか

IEC 62443等の規制対応の証跡が用意できるか

止められない工場を、
止めないために。

安全な接続だけを許可する。Secomea Primeは、Access・Manage・Defendの3つの柱で、OTリモートアクセスの入口管理を統合したプラットフォームです。世界8,000社以上の製造業・装置メーカーがランサムウェア耐性を高めるために選んでいます。

⑨ Secomea Prime を見る個別相談する

FAQ

よくある質問

Secomeaを導入すればランサムウェア攻撃は完全に防げますか？

SecomeaはOTリモートアクセスと外部ベンダーアクセスの入口管理に特化した製品です。攻撃者の初期侵入経路として頻発する「業務委託先アカウントの悪用」「VPN・ネットワーク機器の脆弱性悪用」に対しては強い抑止効果がありますが、ランサムウェア本体の検知やバックアップ保護はEDR/XDR・SIEM・バックアップ製品と組み合わせる必要があります。Secomeaは「入口を守る」専門製品としてご理解ください。

EDRやバックアップ製品が別途必要な理由は？

Secomeaはリモートアクセスと外部ベンダーアクセスの統制に特化しているため、エンドポイント保護（EDR）、統合ログ監視（SIEM/SOC）、データ保護（イミュータブルバックアップ）といった役割は別製品が担います。多層防御の考え方で、複数製品を組み合わせることで全体のセキュリティが成立します。

既存のVPN環境に追加導入できますか？

はい。SecomeaはOT専用の共通アクセス管理レイヤーとして機能するため、既存のVPN・OEMツール・ジャンプサーバーと並行運用しながら段階的に置き換えることができます。重要拠点・主要ベンダー・高リスク接続から優先的に統合していく導入アプローチが一般的です。

業務委託先のアクセス管理を強化したい場合の最初のステップは？

まず「誰が・どこから・何に・いつまで」アクセスできるかを棚卸ししてください。多くの場合、装置メーカー・SIer・保守会社のアカウントが恒久的に有効になっています。次に、外部ベンダーアクセス管理機能（承認制・時間制限・装置単位の権限制御）の適用範囲を決め、緊急対応や定期メンテナンスから順次運用に組み込みます。