フォーティネット、OTサイバーセキュリティの現状に関するグローバル調査レポートの最新版を発表 〜OT組織の75%が過去1年間に少なくとも1回の侵入を経験
- 2023/09/07 10:00
- SecurityInsight
フォーティネットは9月5日、「2023年OTサイバーセキュリティに関する現状レポート」を発表した。この年次調査は、多様な業種から日本を含む世界570人のOTプロフェッショナルを対象に第三者機関が実施したもの。主な結果は以下のとおり。
●OTは、高い確率で攻撃の標的にされている:
サイバーセキュリティの侵入を受けなかった組織の数が、前年比で大幅に改善した(2022年の6%から2023年の25%へ)が、改善の余地が引き続き大きいことに変わりない。事実、OT組織の4分の3が昨年に少なくとも1件の侵入があったと回答した。今回も最も回答が多かったインシデントは、マルウェア(56%)とフィッシング(49%)による侵入で、回答者の3分の1近くが昨年ランサムウェア攻撃の被害を受けたと回答した(32%で、2022年から変化なし)。
●サイバーセキュリティの実務担当者は、自社のOTセキュリティ成熟度を過大評価していた:
自社のOTセキュリティ態勢の成熟度を「高い」と評価した回答者が、前年の21%から13%に減少した。これは、OTプロフェッショナルの意識が向上し、自社のサイバーセキュリティ能力を自己評価するツールの有効性が向上したことを示唆している。回答者のほぼ3分の1(32%)が、ITとOTの両方のシステムがサイバー攻撃の影響を受けたと回答しており、昨年のわずか21%から増加した。
●コネクテッドデバイスの爆発的な増加で、OT組織にとっての複雑さの課題が浮き彫りに:
回答者の80%近くが、自社のOT環境に100台以上のIP対応OTデバイスがあると回答しており、拡大し続ける脅威からの保護がセキュリティチームにとっていかに喫緊な課題であるかを示している。調査結果から、サイバーセキュリティソリューションは、特に効率性(67%)と柔軟性(68%)が向上し、大半(76%)のOTプロフェッショナルの業務遂行に継続的に貢献していることが分かった。しかし、ソリューションのスプロール化によって、IT / OTが統合された環境下で一貫性あるポリシーを導入、展開、適用することがこれまで以上に困難になっていることも分かった。また、この問題はシステムの老朽化によってさらに深刻化しており、半数以上の組織(74%)が、自社のICSシステムの平均経過年数が6~10年であると回答した。
●OTセキュリティの責任をCISOが負うように:
ほぼすべての組織(95%)が、オペレーション担当のエグゼクティブやチームではなく、最高情報セキュリティ責任者(CISO)が、OTサイバーセキュリティの責任を負うようにすることを計画している。また、OTサイバーセキュリティのプロフェッショナルの前職が、プロダクト管理ではなく、ITセキュリティのリーダーである場合が多く、サイバーセキュリティの意思決定への影響力が、オペレーションから他のリーダー、特にCISO / CSOに移行していることも分かった。