研修資料案
不正アクセスのは「ID管理」の仕組みがないから
― 中小の工場を止めないための最低限のサイバーBCP ―
1. それでも被害は発生しています
- 「ウイルス対策ソフトは入れている」
- 「ITは業者に任せている」
- 「うちは製造業だから狙われない」
2. なぜ「ID管理」が狙われるのか
攻撃者の本音
- システムを壊す必要はない
- 正規ユーザーとして“入れれば勝ち”
現実
- IDとパスワードがあれば
- メール
- サーバ
- クラウド
- 生産管理
に 普通にログインできる
3. 「8割」の正体(現場目線)
不正アクセスの主な侵入口
- 使い回しID・パスワード
- 退職者のIDが残っている
- 共有ID(工場用・事務所用)
- パスワードが紙で貼られている
- メールからのなりすましログイン
👉 高度なハッキングではない
4. 中小の工場で実際に起きやすいID事故
よくあるケース
- 生産管理システム
→ 元社員のIDがそのまま - メール
→ 工場共用PCに自動ログイン - クラウド
→ 「とりあえず全員管理者」
👉 「便利」が最大のリスク
5. 被害が起きると何が止まるか(製造業BCP視点)
影響範囲
- 受注メールが見られない
- 見積書・請求書の改ざん
- 生産データの消失
- 取引先へのなりすましメール
- 工場停止(最悪)
👉 サイバー事故=操業停止事故
6. 「ID管理が甘い工場」の共通点
- IDは「人」ではなく「作業」に紐づいている
- 誰が管理しているか不明
- 増えるが、減らない
- ルールはあるが、運用されていない
7. 最低限これだけはやる(組合共通レベル)
① IDは「人ごと」にする
- 共有IDを原則廃止
- 「工場用」「事務所用」はNG
② 退職・異動=即停止
- 退職日=ID削除日
- 派遣・外注も含む
③ パスワード管理を簡素に
- 紙に貼らない
- Excel管理しない
- どうしても必要なら
→ 管理者だけが管理
8. 可能なら必ずやる(効果が高い)
多要素認証(MFA)
- ID+パスワード+スマホ確認
- メール・クラウドは必須
👉 IDが漏れても入れない
9. 工場向け「ID管理セルフチェック」
Yes / No で確認
- 退職者のIDは即日消している
- 共有IDは使っていない
- 管理者権限は最小限
- メールはMFAを設定している
- ID台帳が存在する
Yesが3つ未満 → 要改善
10. 災害時・緊急時の落とし穴
よくある誤対応
- 「今は非常時だから全員管理者」
- 「とりあえず同じIDでログイン」
👉 災害時こそ不正アクセスが増える
11. 中小の工場BCPとしての結論
サイバー対策の第一歩は
高価なシステム導入ではなく
IDを整理すること
