1. HOME
  2. article
  3. 93%の組織がIIoT/OTセキュリティプロジェクトの失敗を経験産業セキュリティ導入における上位の課題が浮き彫りに バラクーダの調査より

93%の組織がIIoT/OTセキュリティプロジェクトの失敗を経験
産業セキュリティ導入における上位の課題が浮き彫りに バラクーダの調査より

クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.の日本法人、バラクーダネットワークスジャパン株式会社(以下「バラクーダネットワークス」)は、本日、調査レポート「2022年産業セキュリティの現状」を発表した。
本レポートは、産業用モノのインターネット(IIoT)/運用技術(OT)を組織内で担当する800人のシニアITマネージャー、シニアITセキュリティマネージャー、プロジェクトマネージャーを対象に、IIoT/OTセキュリティプロジェクト、実装課題、セキュリティインシデント、技術投資、サイバーセキュリティリスクに関するさまざまな問題についての見解を得るために実施された。

レポート(日本語版)のダウンロードはこちら 

ハイライト:

・企業は、運用技術(OT)の保護に苦慮しており、その結果、セキュリティ侵害を受けている

・94%の組織が、過去12カ月間に何らかのセキュリティインシデントを経験している

・製造および医療業界は、セキュリティプロジェクトの実施が遅れている。

全体として、重要なインフラが攻撃を受けており、IIoTとOTのセキュリティが重要であることは認識されているものの、地政学的な状況が緊迫化する中、企業はいくつかの大きな課題に直面していることが調査から明らかになった。セキュリティ侵害は、金銭的な損失だけでなく、長期にわたる侵害の影響を伴う重大なダウンタイムをもたらすことが示されている。主な調査結果は下記の通り。

図1. セキュリティインシデント経験の有無
地政学的な影響への懸念:全体として、回答者は現在の脅威の状況と地政学的な状況が組織に与える影響を懸念しており、89%が「非常に懸念している」、または「かなり懸念している」と回答している。

セキュリティ侵害が業務の遂行に影響:インシデントを経験した組織の87%は、1日以上の間、業務への影響を受けていた。

バラクーダのデータ、ネットワーク、およびアプリケーションセキュリティ/エンジニアリング担当SVP Tim Jeffersonは、次のように述べている。「現在の脅威環境では、重要インフラはサイバー犯罪者にとって魅力的なターゲットですが、残念ながらIIoT/OTセキュリティプロジェクトは他のセキュリティイニシアチブより後回しにされたり、コストや複雑さにより失敗し、組織が危険にさらされたりすることがよくあります。ネットワークのセグメンテーションの欠如や多要素認証を要求しない多くの組織などの問題によって、ネットワークは攻撃されやすくなっており、早急な対応が必要となっています」。

あらゆる組織がIIoTおよびOTセキュリティへのさらなる投資の重要性を認めており、ビジネスリーダーの96%が、「自分の組織がIIoTとOTのセキュリティにもっと投資する必要がある」と認めている。実に72%の組織が、IIoT/OTセキュリティプロジェクトをすでに完了しているか、実施中であることを示したが、多くの組織が、基本的なサイバーハイジーンを含めて、実施時に大きな課題に直面している。

製造業および医療業界は遅れている:重要インフラに関する組織は、セキュリティプロジェクト導入においてリードしており、石油・ガス業界では50%がプロジェクトを完了しています。製造業では24%、医療業界では17%しかプロジェクトを完了していない。

・企業は失敗を経験している:93%の組織は、IIoT/OTセキュリティプロジェクトに失敗している。
図2. IIoT/OTセキュリティプロジェクトの失敗の有無と原因
効果的なIIoTセキュリティの実装がインパクトを与えている:IIoTおよびOTのセキュリティプロジェクトが完了した組織では、75%が重大なインシデントによる影響を全く経験していないことが判明。

多要素認証(MFA)の利用率は低い:OTネットワークへのリモートアクセスにおいて、ネットワークアクセスを制限し、多要素認証を実施している企業は、調査対象の18%に過ぎない。

重要な産業においても、MFAの利用が少ないことが一般的:エネルギー業界のような重要な業界でも、47%が外部ユーザーに対してMFAを使用しないフルリモートアクセスを許可している。

スキルが影響する:セキュリティアップデートの適用を自社で行っている組織は、調査対象の半数弱(49%)となっている。

手動アップデートは面倒:セキュリティアップデートが自動的に行われない場合、組織は最も大きな打撃を受けている。

IIoTとOTのセキュリティは、引き続き攻撃者の主要な標的となっていますが、積極的なアプローチを取る企業には希望がある。企業は、そのような課題に対処するツールを導入する必要がある。例えば、セキュアなエンドポイント接続デバイスや堅牢なネットワークファイアウォールを使用し、効果的なネットワークセグメンテーションと高度な脅威防御、多要素認証、さらにはZero Trust Accessの実装を可能にする、安全なクラウドサービス経由で一元的に導入・管理することができる。

バラクーダのネットワークセキュリティ担当VPであるKlaus Gheriは、次のように述べている。「IIoT攻撃はデジタル領域を超えて、実世界に影響を与えることがあります。業界全体で攻撃が増加し続けているため、産業用セキュリティに関しては、積極的なセキュリティアプローチを取ることが、企業が次の攻撃の犠牲者にならないために重要です」。

関連リンク: 
レポート「2022年産業セキュリティの現状」 (日本語版)

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!