1. HOME
  2. ブログ
  3. OTサイバーセキュリティが重要インフラの安全かつ継続的な運用の優先課題に

OTサイバーセキュリティが重要インフラの安全かつ継続的な運用の優先課題に

KPMGコンサルティング株式会社は、電力、石油、ガス、通信、交通、医療など重要インフラにおける制御システムのサイバーセキュリティに関する調査結果をまとめた「(CS)²AI – KPMG制御システムサイバーセキュリティ年次報告書2022」(日本語版)を発表した。

近年、世界的に重要インフラをはじめ、大手企業の工場などへのランサムウェアによるサイバー攻撃の脅威が飛躍的に増加するなか、機械設備や生産工程を制御するオペレーショナルテクノロジー(OT)の安全で継続的な運用への懸念が高まっている。

本レポートは、世界各国で約580人の業界関係者と、約2万5,000人におよぶ制御システムの安全確保を担うあらゆるレベルの担当者を支援する非営利人材開発組織(CS)²AI(Control System Cyber Security Association International)の会員の一部(サンプル)を対象に、「制御システムのセキュリティ事象」「攻撃活動や防衛技術の傾向」「課題に対処するために組織が優先的に取り組んでいること」といった項目について、2021年に実施した調査結果をまとめたもの。

なお、本レポートでは、前年(2020年)の調査結果に加え、制御システムサイバーセキュリティプログラムの成熟度が高い組織(高成熟度組織)と成熟度の低い組織(低成熟度組織)を多岐にわたって比較分析している。これにより、自社のセキュリティ対策の状況に合わせ、制御システムサイバーセキュリティの取組みの現状と、目指すべき将来像の実現を確認することができる。

<ハイライト>

制御システムサイバーセキュリティプログラムの高成熟度組織は、低成熟度組織と比べ多くの点で優れている。

<主な調査結果>

制御システムサイバーセキュリティの進展にあたり、「専門知識の不足」が大きな障壁となっていることが明らかになった。回答者の約半数(49.1%)が、制御システムへのサイバー攻撃を防ぐうえでの最大の障壁として「制御システムサイバーセキュリティに関する専門知識の不足」を挙げ、約36%が「人材不足」を挙げている。

【制御システムへの攻撃を防ぐうえでの最大のハードルを教えてください(2020年と2021年の比較)】

脅威が拡大し、変化のスピードが加速している現在の環境では「危機意識」を高めることが不可欠で、セキュリティ担当者のスキルや能力を開発するセキュリティ研修に加え、「セキュリティ意識向上トレーニング」の重要性が高まっている。今回の調査からは進展が見られる一方、依然として約2割(17.4%)の組織でOTサイバーセキュリティの意識向上トレーニングが実施されていないことが明らかとなっている。

【制御システムセキュリティ意識向上トレーニングの実施状況を教えてください】

サイバーセキュリティに費やすべき分野について、「セキュリティ意識向上トレーニング」「サイバーセキュリティ要員のトレーニング」「制御システムサイバーセキュリティ担当者の増員」の3項目で高成熟度組織と低成熟度組織が近い割合を示す一方、それ以外の分野については組織の成熟度により20ポイント近い差がみられるものがあった。

【制御システムサイバーセキュリティ対策で投資対効果が高い分野を教えてください(高成熟度組織と低成熟度組織の比較)】

制御システムサイバーセキュリティアセスメントの実施頻度は、前回に引き続き「年1回(24.9%)が最も多い結果であったが、アセスメントに含まれるコンポーネントにおいては、すべての項目で高成熟度組織の割合が多いだけではなく、包括的なアセスメント(エンド・ツー・エンド)の実施においては、低成熟度組織に対し3倍近い差が表れている。

【自組織における制御システムセキュリティアセスメントに含まれるコンポーネントをすべて教えてください(高成熟度組織と低成熟度組織の比較)】

本レポートの全文はこちらからダウンロードが可能である。
https://home.kpmg/jp/ja/home/insights/2023/01/cyber-controlsystem-report2022.html

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!