IoT/OTシステムへの攻撃を3社に1社が経験、半数近くが対策不十分を認識IoTセキュリティ(1/2 ページ)

IDC Japanが国内企業のIoT/OTセキュリティ対策実態調査の結果について説明。IoT/OTシステムに関わるセキュリティ事件/事故を経験した企業が36.4%に上る一方で、半数近くの47.7%がセキュリティ対策状況が不十分と認識しつつも、「予算の確保」や「導入効果の測定が困難」を理由に対応を進められていない状況も浮き彫りになった。

» 2021年04月28日 06時30分 公開
[朴尚洙MONOist]

 IDC Japanは2021年4月27日、オンラインで会見を開き、2020年に続き2回目となる国内企業のIoT(モノのインターネット)/OT(制御技術)セキュリティ対策実態調査の結果について説明した。IoT/OTシステムに関わるセキュリティ事件/事故を経験した企業が36.4%に上る一方で、半数近くの47.7%がセキュリティ対策状況について不十分と認識しつつも、「予算の確保」や「導入効果の測定が困難」を理由に対応を進められていない状況も浮き彫りになった。

 同調査は2021年2月に443社のセキュリティ担当者を対象に専用Webサイトを用いたアンケートによって実施された。443社の構成は、従業員数が11〜100人の中小企業から3001人以上の大企業まで含まれ、産業分野も組立製造とプロセス製造が最も多いものの、建設・土木、流通(小売・卸売)、銀行・保険・証券、医療・福祉など多岐にわたる。また、アンケート回答者の所属部門についても、一般的に企業セキュリティを担当する情報システム部は16.2%にとどまり、技術部門もしくは研究開発部門が15.5%、経理部もしくは総務部が10.9%、生産部門が8.7%、品質管理部門が4.3%、資材購買部が3.8%などとなり、IoT/OTシステムのセキュリティが他業務と兼任する傾向が強いことも明らかになった。

IoT/OTセキュリティ対策実態調査の回答者の属性 IoT/OTセキュリティ対策実態調査の回答者の属性(クリックで拡大) 出典:IDC Japan

セキュリティ事件/事故による物理的な被害も多く発生

 「IoT/OTシステムに関して、過去1年間でセキュリティ上の事件/事故を経験したことがあるか」という設問への回答では、事件/事故が発生したことがあるが7.7%、事件/事故に至らなかったが危険(脅威)を感じたことがあるが28.7%で、合計で36.4%となった。2020年に行った第1回調査では合計で34.4%であり、3社に1社が年間に1回はIoT/OTシステムに関わるセキュリティ事件/事故を経験している状況に変化はない。

セキュリティ事件/事故の経験 セキュリティ事件/事故の経験(クリックで拡大) 出典:IDC Japan

 事件/事故が発生した比率の多い産業分野は、銀行・保険・証券が16.1%、公共/公益・資源が14.3%、流通(小売・卸売)が13.5%と多かった。製造業では、組立製造が7.9%、プロセス製造が3.8%と比較的低めだった。

 これらIoT/OTシステムのセキュリティ事件/事故の被害でどのようなことが起きたかについては、生産/製造ラインやシステムの一時停止が25.5%でトップとなり、この他にも工場やシステムの破壊/破損/故障が18.6%、生産/製造ラインやシステムの完全停止が18.0%、制御データやパラメータなどの改ざんが11.2%など物理的な被害も多くみられている。また、セキュリティ事件/事故が発生している場所は、外部ネットワーク接続部が40.4%、社内ネットワークが38.5%、産業用制御システムなどのOTネットワーク内が13.0%、IoT/IIoT(産業用IoT)システムネットワーク内が11.8%などとなり、ネットワークに関わる場所が上位を占めた。

経験したセキュリティ事件/事故と発生場所 経験したセキュリティ事件/事故と発生場所(クリックで拡大) 出典:IDC Japan

 IoT/OTシステムのセキュリティ対策については、半数以上の52.3%が十分と判断している一方で、残りの47.7%は不十分と考えているという結果だった。また、不十分と考えているにもかかわらず対策を計画していない企業も19.0%存在している。この不十分だが対策できていない比率は、従業員数が11〜100人の企業で30.9%、101〜250人で29.9%となり、中小企業でより高くなっていることも分かった。

 IoT/OTシステムのセキュリティ対策の課題では、予算の確保が40.4%でトップとなり、専門技術者の人材不足、運用管理、ユーザー教育といった現場の人材リソースに関わる課題が2〜4位を占めた。IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの赤間健一氏は「これら、予算の確保や現場の人材リソースなどの問題は、中小企業におけるIoT/OTシステムのセキュリティ対策が進まない一因になっている」と語る。

セキュリティ対策の導入や強化の課題 セキュリティ対策の導入や強化の課題(クリックで拡大) 出典:IDC Japan
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.