IoT／OTシステムへの攻撃を3社に1社が経験、半数近くが対策不十分を認識：IoTセキュリティ（2/2 ページ）

IDC Japanが国内企業のIoT／OTセキュリティ対策実態調査の結果について説明。IoT／OTシステムに関わるセキュリティ事件／事故を経験した企業が36.4％に上る一方で、半数近くの47.7％がセキュリティ対策状況が不十分と認識しつつも、「予算の確保」や「導入効果の測定が困難」を理由に対応を進められていない状況も浮き彫りになった。

[朴尚洙，MONOist]

セキュリティガイドライン／フレームワークについては「分からない」が最多

　また、今回の調査ではIoT／OTシステム向けのセキュリティ対策製品の導入があまり進んでおらず、新たに導入を検討している製品でも運用負荷を低減する機能が期待されていることが分かった。

　現在導入しているIoT／OTシステム向けのセキュリティ対策製品では、ファイアウォールが57.4％、ウイルス対策製品が42.2％と高いものの、IoT／OTシステム向けのセキュリティ対策製品ではホワイトリスト型セキュリティ製品の17.6％を除き、IoT／IIoT脅威検知製品、IoT／IIoT脆弱性診断製品／サービス、OTシステム脅威検知製品、OTシステム脆弱性診断製品／サービス、データダイオード製品などは10％以下にとどまった。

現在導入しているセキュリティ対策製品（クリックで拡大） 出典：IDC Japan

　今後の導入を検討している製品では、ネットワークの可視化と管理、アクセス制御＆認証（検疫監視など）、ITと統合された管理や監視製品／サービスが挙がり、期待する機能でも脆弱性／リスク管理、統合監視／管理機能、リモートアクセス、デバイスの可視化と管理といった運用負荷の低減や効率化する機能が上位を占めた。「IoT／OTシステムのセキュリティ担当者はメインの業務と兼任していることが多く、新しいセキュリティテクノロジーよりも、運用負荷の低減や情報システム部門で一括管理できるような機能を求めているようだ」（赤間氏）という。

　さらに、セキュリティガイドライン／フレームワークの採用状況では、政府が策定したIoTセキュリティガイドラインが12.6％で最も多かったものの、それ以上に顕著だったのが「採用しておらず、計画もない」が25〜30％、「分からない」が30〜40％に達していたことだった。赤間氏は「セキュリティガイドライン／フレームワークは、情報セキュリティ分野では浸透してきたが、IoT／OTシステム分野での認知度はまだまだ低い」と述べる。

セキュリティガイドライン／フレームワークの採用状況（クリックで拡大） 出典：IDC Japan

　IoT／OTシステムのセキュリティに対する経営幹部の関わり方では、「セキュリティ対策責任者に対する意見や要望を出し、任せている」が26.0％、「特に関与しておらず、現場責任者にセキュリティ対策の意思決定を任せている」が26.6％、合計52.6％となり、経営幹部が積極関与しない企業が半数以上を占めた。

セキュリティ対策の幹部の関わり方（クリックで拡大） 出典：IDC Japan

　設備投資額に対するIoT／OTシステムのセキュリティ対策関連投資の比率では、10％未満が51％、10〜20％未満が26.2％、20〜30％未満が14.4％などとなった。また、2020年度と比較した2021年度の増減比率では、増加見込みが20.3％で、減少見込みの17.4％より多かったという。

　赤間氏は「今後、IoTから得られるデータの活用を推進する企業であれば、IoT／OTシステムのセキュリティにも注力する必要があるだろう。守りの薄いIoTデバイスを踏み台にしようとするサイバー攻撃は常態化している。コロナ禍の中でもIT投資は引き続き堅調だったが、IoT／OTシステムのセキュリティ対策もしっかり進めるべきではないか」と述べている。

⇒その他の「IoTセキュリティ」の記事はこちら