想定読者: 年商 20-500 億円・工場数 2-3 箇所・従業員 100-1,000 名規模の中堅製造業で、工場 IT を兼務する情シス課長・工場長・製造部長。 数値ペイン: 中堅層は専任セキュリティ要員が 0-2 名、年間予算 500-3,000 万円規模が中心で、大手の対策事例をそのまま採用するとコスト超過する。
大手電子部品メーカーで 2026 年 2 月に発覚した社内情報共有システムへの不正アクセス事案は、規模の大小を問わず製造業全体への警鐘となった。本記事では、中堅製造業(年商 20-500 億)の現場目線で「自社の工場ですぐ点検すべき項目」を 30 日のタイムラインで整理する。
「うちは中小だから狙われない」という認識は、サプライチェーン攻撃が増える 2026 年以降は通用しない。中堅サプライヤーは、大手の取引審査・SBOM 提出要請の最前線に立たされている。
村田製作所の不正アクセス:何が起きたのか
事案の概要
| 項目 | 内容 |
|---|---|
| 被害企業 | 村田製作所(東証プライム、売上高約3兆円) |
| 公表日 | 2026年4月6日(第二報) |
| 不正アクセス検知 | 2026年2月28日 |
| 調査開始 | 2026年3月1日 |
| 攻撃対象 | 社内情報共有システム |
| 漏えい情報 | 顧客・取引先情報、従業員の個人情報 |
| 基幹システムへの影響 | なし(購買・生産・出荷は正常稼働) |
| 対応状況 | 不正アクセス経路を遮断、外部専門機関と調査中 |
タイムライン
- 2月28日 — 社内システムで不正アクセスの可能性を検知
- 3月1日 — 外部専門機関と連携し調査を開始
- 3月6日 — 第一報を公表(不正アクセスの事実と調査開始を報告)
- 4月6日 — 第二報を公表(情報流出の事実を確認)
基幹システム(ERP、生産管理、出荷管理)には被害が及ばなかったことは不幸中の幸いだが、情報共有システムという 「日常的に使われるシステム」 が攻撃の入口になった点は、多くの企業にとって教訓となる。
なぜ製造業がサイバー攻撃のターゲットになるのか
理由1:サプライチェーンの要としての価値
製造業は、完成品メーカーから部品サプライヤーまで、複雑なサプライチェーン で結ばれている。1社の情報が漏えいすれば、取引先の技術情報、価格情報、発注量などが芋づる式に流出する。攻撃者にとって、製造業は 「1社で複数社分の情報が手に入る」 効率のいいターゲットだ。
理由2:OT(制御系)とIT(情報系)の境界があいまいに
IoT化やスマートファクトリーの推進により、かつて独立していた 工場の制御系ネットワーク と オフィスの情報系ネットワーク が接続されるケースが増えている。この境界のあいまいさが、新たな攻撃経路を生んでいる。
理由3:「中小だから狙われない」は過去の話
IPA「情報セキュリティ10大脅威 2026(組織編)」では、サプライチェーンの弱点を悪用した攻撃 が上位にランクインしている。大企業を直接攻撃するより、セキュリティが手薄な 中小サプライヤーを踏み台にする 方が効率的だからだ。村田製作所の取引先である中小部品メーカーが狙われるシナリオは、決して絵空事ではない。
中堅製造業の現場対応 30 日タイムライン(要約)
| 日数 | フェーズ | 担当 | 想定工数 |
|---|---|---|---|
| Day 1-3 | 棚卸し(情報共有システム・OT/IT 接続点・退職者アカウント) | 情シス + 各工場 IT 担当 | 0.5-1 人日 / 工場 |
| Day 4-10 | MFA 全面適用 + バックアップ 3-2-1 状態確認 | 情シス | 2-3 人日 |
| Day 11-20 | OT/IT 分離レビュー + 工場端末のインターネット直結遮断 | 情シス + 制御系ベンダー | 工場あたり 3-5 人日 |
| Day 21-30 | インシデント連絡フロー文書化 + 経営報告 | 経営企画 + 情シス | 2 人日 |
中堅層は「全部やる」ではなく 30 日で棚卸しと底上げ、90 日で投資判断、180 日で運用定着 という段階設計が現実的だ。下記 5 項目は Day 1-30 で必ず触ること。
【中堅製造業 工場 IT 課長向け】今すぐ確認すべき 5 つの現場セキュリティチェック項目
チェック1:情報共有システムのアクセス権限を見直す
村田製作所の事案では、情報共有システムが攻撃対象だった。
- ファイルサーバー、SharePoint、グループウェアの アクセス権限 は最小権限の原則に基づいているか
- 退職者・異動者のアカウントは 即時無効化 されているか
- 外部からのリモートアクセスに 多要素認証(MFA) を導入しているか
チェック2:ネットワーク分離の状況を確認する
- OTネットワーク(工場の制御系)と ITネットワーク(オフィス系)は物理的または論理的に分離されているか
- 分離している場合、接続点のファイアウォールルールは 定期的にレビュー しているか
- 工場内の端末から インターネットへの直接アクセス を制限しているか
チェック3:バックアップと復旧体制を検証する
- 重要データのバックアップを 3-2-1ルール(3つのコピー、2種類の媒体、1つはオフサイト)で運用しているか
- バックアップから 実際に復旧できること を直近6か月以内にテストしたか
- ランサムウェアによる暗号化に備え、バックアップは ネットワークから切り離した場所 に保管しているか
チェック4:従業員のセキュリティ意識を確認する
- フィッシングメールの 訓練 を過去1年以内に実施したか
- 不審なメール・アクセスを発見した際の 報告フロー は全従業員に周知されているか
- USB メモリなどの 外部記憶媒体の使用ルール は明確か
チェック5:インシデント対応計画を整備する
- サイバー攻撃発生時の 連絡フロー(誰に・何分以内に・どの手段で)が文書化されているか
- 顧客・取引先への 情報漏えい通知 の手順は準備されているか
- 個人情報保護委員会 への報告手順(2022年4月改正法で義務化)を把握しているか
中堅製造業 100 件以上の DX/セキュリティ支援実績|年商 20-500 億の製造業 DX 専門
2-3 工場規模の中堅製造業を主対象に、30 日チェックリスト棚卸し → 90 日改善計画 → 180 日運用定着までを伴走します。OT/IT 分離・MFA 展開・SBOM 対応の優先順位付けを工場 IT 課長と一緒に整理します。
※ 営業電話はしません | オンライン対応可 | 工場長・情シス課長同席歓迎
中堅製造業の ROI 試算(年商 100 億・工場 2 拠点モデル)
数値は中堅層の参考レンジ。業種・規模・既存資産で大きく変動するため、自社環境での見積もりが必要。
| 項目 | 目安レンジ | 補足 |
|---|---|---|
| MFA 全社展開(ID 数 300) | 月額 15-25 万円 | クラウド ID 基盤前提、初期 30-80 万円 |
| EDR 全端末(300 台) | 月額 15-30 万円 | エージェント方式、初期 0-50 万円 |
| OT/IT 境界ファイアウォール(工場 2 拠点) | 初期 200-600 万円 | 産業用 FW、保守年 30-80 万円 |
| バックアップ刷新 | 初期 100-300 万円 + 月 5-15 万円 | オフサイト含む |
| 年間総額(参考) | 600-1,500 万円 | 補助金活用で実質 1/2-1/3 |
中堅製造業の年間 IT 予算(売上比 0.5-1.5%)に対し、セキュリティ枠は 15-25% 程度を確保するのが業界平均だ。これに対し、未対策で情報漏えい・生産停止が発生した場合の影響は次のとおり大きく上回る。
対策しなかった場合のコスト
「セキュリティ対策にお金をかける余裕はない」——中小製造業からよく聞く言葉だ。しかし、対策しないコストの方がはるかに大きい。
情報漏えい発生時に想定されるコスト
| 項目 | 費用目安 |
|---|---|
| フォレンジック調査(原因特定) | 300万〜1,000万円 |
| 弁護士費用(通知・対応) | 100万〜500万円 |
| 個人情報漏えいの損害賠償 | 1人あたり3,000円〜5万円 × 漏えい件数 |
| 取引先からの信用低下 | 算定不能(取引停止リスク) |
| 業務停止期間の逸失利益 | 数百万〜数千万円 |
JNSA「インシデント損害額調査レポート」によると、情報漏えい1件あたりの平均損害額は 約6億3,767万円 だ。中小企業であっても、取引先の情報が含まれていれば損害賠償額は大きくなる。
取引先からの「セキュリティ要件」が厳格化
大手製造業を中心に、サプライヤーに対する セキュリティ基準の要求 が厳しくなっている。セキュリティ体制が不十分な場合、新規取引の審査に落ちる ケースも出始めている。
限られた予算で始めるセキュリティ対策
優先度順:月額5万円から始められる対策
| 優先度 | 対策 | 月額費用目安 | 効果 |
|---|---|---|---|
| 最優先 | MFA(多要素認証)の導入 | 500円〜/人 | 不正ログインの99%を防止 |
| 高 | EDR(エンドポイント検知) | 500〜1,000円/台 | マルウェア検知・対応 |
| 高 | バックアップの自動化 | 3万〜10万円 | ランサムウェア対策の基本 |
| 中 | セキュリティ研修 | 年1回10万〜30万円 | ヒューマンエラー防止 |
| 中 | 脆弱性スキャン | 月3万〜10万円 | 既知脆弱性の早期発見 |
補助金を活用して初期費用を抑える
2026年度から「デジタル化・AI導入補助金」(旧IT導入補助金)が開始されている。セキュリティ対策ツールも補助対象に含まれる。
- セキュリティ対策推進枠:補助率 1/2〜2/3
- 小規模事業者:最大 4/5(80%) の補助率
1次締切は 2026年5月12日 だ。この機会を活用しない手はない。
まとめ:村田製作所の教訓を自社に活かす
村田製作所の事案は、以下の3つの教訓を残している。
- 情報共有システムという「日常ツール」が攻撃の入口になる — 基幹システムだけを守っても不十分
- 検知から被害確認まで1か月以上かかる — 早期検知と対応の体制が不可欠
- 製造業のサプライチェーン全体がリスクにさらされている — 1社の対策不備が取引先全体に波及
セキュリティ対策は「コスト」ではなく、取引を継続するための投資 だ。
中堅製造業 100 件以上支援|年商 20-500 億・2-3 工場規模の伴走支援
工場 OT セキュリティから情報系の脆弱性診断、SBOM 対応、サプライチェーン審査対応まで、中堅製造業に特化した 30 日 / 90 日 / 180 日設計で支援します。補助金活用で実質負担を抑える設計も対応可能です。
※ まずは現状のリスク棚卸しから | オンライン完結 OK | 工場長同席歓迎
関連記事
- 中堅製造業 2026年DX 3トレンド — AI・セキュリティ・人材育成の優先順位と投資レンジ
- 中小企業のゼロトラスト導入ガイド — 「境界防御」から「信頼しない前提」への体制づくり
- 中小企業のシステム開発費用ガイド — セキュリティ・システム投資の費用感をつかむ