フォーティネット2022年グローバル調査で、OTセキュリティの重要な課題が明らかに

サイバーセキュリティのソリューションを提供するフォーティネット（Fortinet®）は「2022年オペレーショナルテクノロジーとサイバーセキュリティに関する現状レポート」を、今年6月に米フォーティネットが発表しました。

今回のレポートで、過去1年間にオペレーショナル・テクノロジー（以下、OT）を導入している組織が、過去1年間にOTを導入組織の93%がセキュリティ侵害を経験し、年間3回以上の侵害を受けた組織も78%であることが判明しました。産業用制御環境が、引き続きサイバー犯罪者の標的となっている状況が明らかになりました。また、産業用セキュリティに関する様々な領域において、広範なギャップが存在し、改善の余地が大きいことを本調査レポートでは示しています。

日本でもサイバーセキュリティに対する重要性と必要性が高まっていますが、このブログでは上記の調査レポートを日本向けに編集および一部追記した内容でご報告をいたします。

＜フォーティネットの「2022年OTとサイバーセキュリティに関する調査」について＞
今年の「OTとサイバーセキュリティの現状レポート」は、高度にOTを活用する製造、運輸・物流、医療など多様な業種の組織において、OTやOTセキュリティに責任を負う日本を含む世界500名以上の管理職（最高責任者含む）を対象に本年3月に実施され、OTを多用するさまざまな業種から回答が寄せられました。
今回の調査レポートのハイライトは、以下の通りです。
（末尾別紙に特徴的データを抜粋したインフォグラフィクスを貼付しました。併せてご参照ください）

• OTの挙動が一元的に可視化されず、セキュリティリスクを高めている
  今回の調査で、すべてのOTの挙動は、一元的に可視化されているという回答は13%にとどまりました。OTの挙動はSOC（セキュリティオペレーションセンター）から全て追跡できるという回答も52%にとどまっています。また、97%の組織が、OTはセキュリティ全体の中で、中程度または重大なリスク要因であると考えています。
  この結果は、いまだ可視化が一元的になされていないことが組織のOTセキュリティリスクとセキュリティ態勢を脆弱にする一因であることを示唆しています。

• OTセキュリティの侵害は企業の生産性と収益に大きく影響
  過去1年間に93%のOT組織が少なくとも1回の侵害を、78%が3回以上の侵害を経験していました。これらの侵害の結果、生産性に影響する運用停止が発生した組織はほぼ50%、侵害サービス復旧に数時間以上要した組織は90%に上りました。さらに、3分の1の回答者が、セキュリティ侵害が収益、データ漏洩、コンプライアンス、ブランド価値に影響したと回答しました。

上記侵害がビジネスに及ぼした影響

• 組織におけるOTセキュリティのオーナーシップが統一されていない
  本レポートによると、OTセキュリティ管理の責任は、工場の操業から製造の運用までのさまざまな部門の責任者や管理者が分担して負っていました。CISOが組織のOTセキュリティの責任を負っているという回答はわずか15%でした。

現在、OTセキュリティに関する責任者は誰か

• OTセキュリティは徐々に改善されているが、なお多くの組織にセキュリティギャップが存在
  組織のOTセキュリティ態勢の成熟度についての質問で、オーケストレーションと管理の活用を含む成熟度がレベル4以上と回答した組織はわずか21%でしたが。中南米とアジア太平洋地域は他の地域と比べ、レベル4以上という回答が多かった点は注目されます。一方、現在70%以上の組織が、OTセキュリティ態勢の成熟度が中程度以下であると回答しています。同時に、さまざまなOTセキュリティツールを併用しているため、セキュリティ態勢にギャップが生じているという課題を抱える組織が多数に及んでいます。このレポートで、半数を大きく上回る組織が2～8の異なるベンダーの100～10,000の産業用デバイスを運用しており、複雑さが増大していることがわかりました。

OTセキュリティ体制の成熟度

OTセキュリティは全社的な関心事に
サイバー犯罪者がOTシステムを標的とする事例がますます増加しているのに伴い、組織の最高責任者も、これらの環境を保護して組織のリスクを軽減することの重要性を認識するようになっています。産業用システムは伝統的にITや企業ネットワークと分離した空白地帯となっていましたが、これら2つのインフラの統合が進んだことで、産業用システムが重大なリスク要因になりました。産業用システムがインターネットに接続され、あらゆる場所からアクセスできるようになった今、組織の攻撃対象領域が大幅に拡大しています。
IT脅威の巧妙化に伴い、ネットワーク接続されたOTシステムのこれらの脅威に対する脆弱性も増大しています。このような要因が重なることで、産業用システムのセキュリティが多くの企業のリスクポートフォリオで上位に位置付けられるようになっています。ICS（産業用制御システム）やSCADA（スキャダ：監視制御 / データ収集）システムを完全に保護する必要性が高まっており、産業用システムのセキュリティが経営幹部の関心事になっています。

今回の「OTとサイバーセキュリティの現状に関するレポート」について、フォーティネットのプロダクト担当エグゼクティブバイスプレジデント兼CMO、John Maddison（ジョン・マディソン）は次のように述べています。
「今回の調査レポートは、組織のリーダーがOTセキュリティに注目するようになっている一方で、セキュリティの重大なギャップが今も残されていることを示しています。セキュリティを考慮して設計されていないPLC、止むことのないセキュリティ侵害、OT活動の一元的な可視性の欠如、OTへの接続の拡大などは、これらの組織が解決する必要がある、いくつかの重要な課題です。スイッチやアクセスポイント、ファイアウォールなどのOTネットワークインフラストラクチャへのセキュリティのコンバージェンスが環境のセグメンテーションに不可欠であり、これをOT、コンバージドOT / IT、ITを含むプラットフォームと組み合わせることで、エンドツーエンドの可視性と制御が実現します」

OTセキュリティの課題を解決するベストプラクティス
フォーティネットの「2022年オペレーショナルテクノロジーとサイバーセキュリティに関する現状レポート」は、組織がOTシステムの脆弱性を解決し、セキュリティ態勢全体を強化する方法も紹介しています。組織は以下の方法で、OTセキュリティの課題を解決できます。

• ゼロトラストアクセスを確立して、侵害を防止：ネットワークに接続される産業用システムが増加する今、ゼロトラストアクセスソリューションを導入することで、認証や権限のないユーザー、デバイス、アプリケーションによる重要な資産へのアクセスを確実に却下できるようになります。ゼロトラストアクセスソリューションは、内部と外部の両方の脅威からさらなる防御を可能にし、OTセキュリティを前進させます。
• OT挙動の一元的可視化を実現するソリューションの採用：すべてのOTの挙動をエンドツーエンドで一元的に可視化することが、組織がセキュリティ態勢を強化する重要な鍵になります。フォーティネットのレポートで、「過去1年間に侵害がなかった」と回答した全体の6%にあたるトップクラスの組織は、「侵害があった」と回答した組織と比べて3倍以上も一元的な可視化を実現していたことが推認されます。

• セキュリティツールやベンダーの集約による環境の統合：複雑さを解消し、すべてのデバイスを一元的に可視化するには、OTとITのテクノロジーの少数のベンダーへの統合を検討する必要があります。統合セキュリティソリューションを実装することで、攻撃対象領域を少なくし、セキュリティ態勢を強化できます。
• NAC（ネットワークアクセス制御）テクノロジーの導入：過去1年間に侵害を回避できた組織は、ロールベースのNACを導入し、認証された個人だけがデジタル資産の保護に不可欠なシステムにアクセスできるようにしていました。

フォーティネット セキュリティ ファブリックによるOT環境の保護
フォーティネットは10年以上にわたり、エネルギー、防衛、製造、食品、運輸などの重要インフラのOTシステムを保護してきました。フォーティネット セキュリティ ファブリックを通じて複雑なインフラにセキュリティを組み込むことで、効率的でシームレスなOT環境の保護とコンプライアンスが保証されます。完全な統合と脅威インテリジェンスの共有により、産業用システムを標的にするあらゆる方向からの攻撃に対する高速かつ自動化された対応が可能になります。フォーティネット セキュリティ ファブリックは、ITとOTを統合したネットワークを実現し、OTのセキュリティギャップを解消し、完全な可視性を提供し、管理を簡素化します。

【添付資料】

【関連資料】

• フォーティネットのOTとサイバーセキュリティに関する調査については、こちらのブログ（英文）もご覧ください。
• フォーティネットによる重要インフラストラクチャの保護の詳細
• こちらのビデオでは、フォーティネットが実現する、常に信頼できるデジタル環境の詳細を、また、こちらのビデオでは、フォーティネット セキュリティ ファブリックプラットフォームで組織のデジタルインフラストラクチャ全体の広範で統合され、自動化された保護を提供する方法を解説しています。
• フォーティネットのお客様による組織の保護の事例
• FortiGuard Labsの脅威インテリジェンスとリサーチ、または最新のサイバーセキュリティ攻撃を減災する方法をタイムリーにお知らせするアウトブレイクアラート
• フォーティネットのFortiGuardセキュリティサービスポートフォリオ
• サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの無料のサイバーセキュリティトレーニング。Fortinet Training Instituteは、フォーティネットTraining Advancement Agenda（TAA）の一環として、認定ネットワーク セキュリティ エキスパート（NSE）プログラム、Academic Partner Program、Education Outreach Programも提供しています。
• フォーティネットのユーザーコミュニティ（Fuse）にご参加いただくと、意見の交換やフォーティネットの製品およびテクノロジーの詳しい情報を入手できます。
• DXを支えるOTセキュリティにて、OTセキュリティの関連情報をまとめています。無料のセキュリティ簡易診断やお役立ち動画をこちらからご確認ください。

詳しくは、https://www.fortinet.com、フォーティネットブログ、またはFortiGuard Labsをご覧ください。
フォーティネットジャパンについては、fortinet.com/jp をご覧ください。
フォーティネットの最新情報については、Twitter、LinkedIn、Facebook、Instagramをフォローで入手できます。また、フォーティネットのYouTubeチャンネルにもあわせてご登録ください。