約半数がOTサイバー攻撃の被害に、低い自動車産業のOTセキュリティ成熟度：産業制御システムのセキュリティ（2/2 ページ）

産業制御システム向けのセキュリティを展開するTXOne Networksは、2023年版の「OT/ICSサイバーセキュリティレポート」を発表した。

[三島一孝，MONOist]

低い自動車メーカーのOTセキュリティ成熟度

　これらのOTセキュリティの対策状況はどうなっているのだろうか。OTセキュリティのガイドラインやフレームワークは世界各国で生まれているが、2024年2月にはNIST（米国標準技術研究所）による「NIST Cybersecurity Framework」の最新版である「NIST Cybersecurity Framework 2.0」がリリースされている。また、フロスト＆サリバンではOTセキュリティ成熟度レベルフレームワークを制定している。

フロスト＆サリバンのOTセキュリティ成熟度レベル［クリックで拡大］ 出所：TXOne Networks

　このOTセキュリティ成熟度を国別で見た場合、日本とドイツはレベル3までのレスポンシブル（防御と検知をカバーする堅牢な対策）までの対応にとどまっている結果となった。一方で、米国やUAEは、レベル5の最適化の比率が高く、統合的な取り組みが進んでいることが分かる。

国別のOTセキュリティ成熟度レベル［クリックで拡大］ 出所：TXOne Networks

　一方、業種別で見た場合、石油ガス産業では34％がレベル5の最適化へと進んでいる。しかし、自動車製造業は91％がレベル3となっており、レベル5の比率は2％にとどまっており、プラント系産業に比べると大きく遅れていることが分かる。

業種別のOTセキュリティ成熟度レベル［クリックで拡大］ 出所：TXOne Networks

日本ではOTセキュリティにおける「ガバナンス」が課題

　リソースや予算配分を踏まえ、今後12カ月で取り組むOTセキュリティ領域について聞いた質問では「データセキュリティ」「テクノロジーインフラのレジリエンス」「個人情報の管理、認証、アクセス制御」などが上位となった。

　ただ、日本では「ガバナンス」が最多で他国の2倍近い回答比率を占め、大きな違いがあることが浮き彫りになった。日本企業においては、OTセキュリティのガバナンスがきいておらず、技術面の問題よりも体制面の整備が重要になっていることが分かる。また、セキュリティベンダーがなどが訴えている「リスク評価」については米国で突出して高い回答比率となっているが、その他の国ではそれほどまだ重要視されていないことが明らかとなった。

OTセキュリティの投資領域［クリックで拡大］ 出所：TXOne Networks

　OTサイバーセキュリティに求められる機能としては「セキュリティ分析、監視、評価ツール」「セキュリティコンプライアンス管理と監視」「既存の運用上の脆弱性に対する攻撃の検知」などが上位に挙がっている。

OTセキュリティの投資領域［クリックで拡大］ 出所：TXOne Networks

≫「産業制御システムのセキュリティ」のバックナンバー