(出典:Shutterstock)


当サイトの読者の皆様であれば、電力などの社会インフラがサイバー攻撃を受けた事例をご存じの方も少なくないであろう。サイバーセキュリティにおいて、社会インフラや工場の設備などの運用に必要な設備や機器、システムに関する制御・運用に用いられるITは、Operational Technology(OT)と総称され、IoT(Internet of Things)の普及にともなって非常に重要な分野のひとつとなっている。

本連載でもこのようなOTや、産業用制御システム(ICS)(注1)に関する調査報告書を紹介させていただいているが(注2)、今回紹介させていただくのも、これらと同じ分野に関するもので、OTに関するセキュリティソリューションを提供する2社が共同で発表したものである。

本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://go.otorio.com/ot-security-survey-04-23
(PDF 24ページ/約 0.57 MB)


これは北米にある、従業員5,000人以上の企業を対象として行われたアンケート調査に基づいている。回答者は企業のサイバーセキュリティ責任者190人であり、地域別の内訳は米国が70%、カナダが30%となっている。役職別に見ると、CEO、CIOなどといった、「C-suite」と総称される役職が77%、役員(DIrector)が8割、部門長(VP/Head)が15%である。また業種別では、エネルギーおよびユーティリティ(例えば電力、通信、上下水道など)が37%、製造業が23%、石油・ガスが12%、製紙業が9%、自動車が8%などとなっている。

図1はOTに関するリスクへの対策状況を尋ねた結果である。まず上側(Figure 2)では、「発生したインシデントのみに対応する」(左側)と「手作業で、必要に応じてリスク軽減のための活動を行う」(中央)がそれぞれ4割程度を占めており、「能動的にリスクレベルを下げるための自動化ツールを用いている」(右側)は2割弱しかないことが示されている。さらに下側(Figure 3)には、その内訳が回答者の役職ごとに示されている。

画像を拡大 図1.  OTに関するリスクへの対策状況 (出典:OTORIO, ServiceNow / Understanding the State of Industrial OT Cyber Security)

本報告書を発表した OTORIO 社は図1の右側に相当するソリューションを提供している会社なので、このようなデータを出した意図は言わずもがなであろう。しかし、単にマーケティング目的のデータとして片付けるべきではないと筆者は考えている。

図1はOTに関するリスクへの対策を進めることの難しさを現していると考えることができる。右側の18%にどのような業種が含まれているかは明らかにされていないが、回答者全体の37%がエネルギーおよびユーティリティに関する企業であることと合わせて考えると、エネルギーおよびユーティリティ関連企業の中でも、先進的な取り組みが進んでいる企業はさほど多くないということになる。対策が進みにくい理由が技術的なことなのか、それとも十分な予算を確保できないということなのかは分からないが、このような現状を考えると、サイバー攻撃で社会インフラが機能不全に陥るような事態が発生するリスクは、当面あまり減らないと考えた方がよさそうである。