ネット接続が生み出す品質リスク（品証品管ニュース）

2025 . 10 . 31 品証・品管ニュース

Example Scenario 2: Manipulated SPC Data

In another case, a manufacturer of medical devices relies on a networked statistical process control (SPC) system to monitor tolerances in real time. Engineers use these metrics to adjust tooling before defects occur. A cyber intrusion modifies the SPC data feed, masking drift until it passes the acceptable range. Operators, seeing no alerts, continue production. The result is a batch of devices that appear to meet specifications but fail in clinical use.

These scenarios are hypothetical but based on real vulnerabilities observed in manufacturing environments. They illustrate that the line between a cyber incident and a quality failure is now razor thin.

How Connectivity Creates Quality Risks

The push to smart manufacturing has brought more integration between quality systems, production equipment, and enterprise networks. Machine vision systems share data with MES platforms. CMMs upload results to centralized databases. Cloud-based analytics support predictive maintenance and continuous improvement.

While these advances enable faster problem-solving and process optimization, they also expand the attack surface from a cybersecurity perspective. Many inspection and metrology devices were not designed with strong security controls. They may run on outdated operating systems, use default credentials, or lack encryption for data in transit. Remote access for maintenance, often via overly permissive VPN connections, adds another point of exposure, especially when access permissions are broad or poorly monitored.

Hybrid environments present particular challenges. On the same shop floor, it is common to find a state-of-the-art vision inspection system operating next to a decades-old standalone measurement device that was retrofitted with a network interface. Securing such a mix requires visibility, segmentation, and access controls tailored to the operational context.

The Shift Toward Treating Access as a Quality Control Point

A growing number of manufacturers are beginning to recognize that secure access is not just an IT responsibility; it is also a quality assurance imperative. The ability to verify who is connecting to inspection systems, under what conditions, and with what level of oversight is as important as calibrating the equipment itself.

This shift is driving several trends across the industry. Quality and cybersecurity teams are collaborating more closely to identify and mitigate weaknesses in inspection and measurement processes. Access controls are increasingly being integrated into quality management systems, ensuring that only authorized personnel can make changes to inspection parameters or calibration settings. Organizations are also adopting real-time monitoring, logging, and even recording for remote sessions involving quality equipment, which provides the traceability needed for compliance audits and effective root-cause analysis.

事例2：SPCデータの改ざん

別の例として、ある医療機器メーカーについて考えてみる。その企業では、ネットワークに接続した統計的工程管理（SPC）システムを利用して、公差をリアルタイムで監視している。エンジニアはそのデータに基づき生産設備を調整することで、欠陥の発生を未然に防いでいる。ネットワークを介して侵入した攻撃者は、システムから送られるSPCデータを改ざんし、ドリフト変動が許容範囲を超えても気付かれないようにする。そのため、ドリフトに対する警告は発生せず、オペレーターはそのまま生産を継続する。その結果、当該ロットの機器は、表面上は仕様を満たしているにもかかわらず、臨床使用で誤作動を起こすことになる。

これらの事例はあくまで仮定のものであるが、製造現場で実際に観察された脆弱性に基づいている。こうした事例から、今やサイバー事案と品質問題がいかに紙一重であるかが分かる。

ネット接続が生み出す品質リスク

スマートマニュファクチャリングの推進により、品質システム、生産設備、企業内ネットワークの統合が進んでいる。例えば、マシンビジョンシステムは製造実行システム（MES）とデータを共有するし、三次元測定機（CMM）は測定結果を一元的なデータベースにアップロードする。予知保全と継続的改善にはクラウドベースの分析ツールが活用されている。

こうした進歩は、問題解決の迅速化や工程最適化には確かに役立つが、サイバーセキュリティの観点からは攻撃対象を拡大することにもなる。検査・計測機器の多くは、強固なセキュリティ管理に対応した設計ではない。古いオペレーティングシステムで動作していたり、デフォルトの認証情報を使用していたり、転送するデータの暗号化に対応していなかったりする。メンテナンスのためのリモートアクセスは制限の緩いVPN経由の接続が多いため、新たな露出点となることがある。特に、アクセス許可の範囲が広すぎたり、監視が不十分であったりする場合には注意が必要だ。

機器の混在環境に特有の課題製造現場では、最新鋭のビジョン検査システムが設置されている傍らで、ネットワークインターフェースを後付けした数十年前の単体測定装置がいまだに使用されいるといった状況はよくある。このように様々な機器が混在する環境でのセキュリティ確保には、可視化、切り分け、そして運用状況に応じたアクセス制御が必要である。

アクセスを品質管理点として扱う動き

アクセスの安全性は単なるIT部門の責務にとどまらず、品質保証の必須事項であると認識し始めている製造業者は増えている。誰が、どのような条件で、どのような監視レベルの下で検査システムに接続しているのかを検証できる能力は、機器自体の校正と同等の重要性を持つようになってきた。

この変化をきっかけに、業界全体にいくつかの流れが生じている。検査・測定プロセスの弱点を特定し、改善するため、品質部門とサイバーセキュリティ部門の連携を緊密化するというのがその一つだ。また、権限のある担当者のみが検査パラメーターや校正設定を変更できるようにするために、アクセス管理を品質管理システムに統合する動きも目立ってきた。さらに、品質機器に対するリモートアクセスをリアルタイムでモニタリングし、記録し、場合によっては録画までする企業も出てきた。これは、適合性監査や効果的な根本原因分析に必要なトレーサビリティを確保することになる。