また、今回の調査ではIoT/OTシステム向けのセキュリティ対策製品の導入があまり進んでおらず、新たに導入を検討している製品でも運用負荷を低減する機能が期待されていることが分かった。
現在導入しているIoT/OTシステム向けのセキュリティ対策製品では、ファイアウォールが57.4%、ウイルス対策製品が42.2%と高いものの、IoT/OTシステム向けのセキュリティ対策製品ではホワイトリスト型セキュリティ製品の17.6%を除き、IoT/IIoT脅威検知製品、IoT/IIoT脆弱性診断製品/サービス、OTシステム脅威検知製品、OTシステム脆弱性診断製品/サービス、データダイオード製品などは10%以下にとどまった。
今後の導入を検討している製品では、ネットワークの可視化と管理、アクセス制御&認証(検疫監視など)、ITと統合された管理や監視製品/サービスが挙がり、期待する機能でも脆弱性/リスク管理、統合監視/管理機能、リモートアクセス、デバイスの可視化と管理といった運用負荷の低減や効率化する機能が上位を占めた。「IoT/OTシステムのセキュリティ担当者はメインの業務と兼任していることが多く、新しいセキュリティテクノロジーよりも、運用負荷の低減や情報システム部門で一括管理できるような機能を求めているようだ」(赤間氏)という。
さらに、セキュリティガイドライン/フレームワークの採用状況では、政府が策定したIoTセキュリティガイドラインが12.6%で最も多かったものの、それ以上に顕著だったのが「採用しておらず、計画もない」が25〜30%、「分からない」が30〜40%に達していたことだった。赤間氏は「セキュリティガイドライン/フレームワークは、情報セキュリティ分野では浸透してきたが、IoT/OTシステム分野での認知度はまだまだ低い」と述べる。
IoT/OTシステムのセキュリティに対する経営幹部の関わり方では、「セキュリティ対策責任者に対する意見や要望を出し、任せている」が26.0%、「特に関与しておらず、現場責任者にセキュリティ対策の意思決定を任せている」が26.6%、合計52.6%となり、経営幹部が積極関与しない企業が半数以上を占めた。
設備投資額に対するIoT/OTシステムのセキュリティ対策関連投資の比率では、10%未満が51%、10〜20%未満が26.2%、20〜30%未満が14.4%などとなった。また、2020年度と比較した2021年度の増減比率では、増加見込みが20.3%で、減少見込みの17.4%より多かったという。
赤間氏は「今後、IoTから得られるデータの活用を推進する企業であれば、IoT/OTシステムのセキュリティにも注力する必要があるだろう。守りの薄いIoTデバイスを踏み台にしようとするサイバー攻撃は常態化している。コロナ禍の中でもIT投資は引き続き堅調だったが、IoT/OTシステムのセキュリティ対策もしっかり進めるべきではないか」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.