制御システムサイバーセキュリティ年次報告書 2022

本報告書は、Control System Cyber Security Association International（(CS)²AI）とその会員および、戦略的提携パートナー（SAPs）のコミュニティによる継続的な調査から得られた、年次プロジェクトシリーズの最新版です。
回答者には、サイバーセキュリティの専門家や内容領域専門家（SME）、制御システムのセキュリティと保護の専任ではなくそれ以外の業務も兼任している人など、さまざまな組織レベルの関係者が含まれており、また設問も多岐にわたるものとなっています。

※本ページにて紹介されているのはレポートの一部であり、調査結果の全文はPDFをご参照ください。
※本レポートでは、便宜的に、積極的にディフェンスを行っている組織を「高成熟度組織」、ディフェンスに対し消極的な組織を「低成熟度組織」として記述しています。

• 制御システム製品またはサービス導入前のリスクアセスメントについて
• 制御システムセキュリティ予算について
• 制御システムサイバーセキュリティサービスの利用について
• 制御システムセキュリティ意識向上トレーニングについて
• 制御システムサイバーセキュリティのマネージドサービスについて
• 制御システムのネットワーク稼働状況の監視について
• 昨今のセキュリティインシデントによる被害について
• 昨今の攻撃ベクトルについて

今回の調査では、「技術テスト」を新たな選択肢として追加しましたが、回答組織の少なくとも半数（50.7％）が実施していると回答したことは心強い結果です。このうち、約7割の組織（69.2%）は、ベンダーの製品とサービスの両方またはその一方におけるリスクプロファイルの社内審査も実施しており、50.6％は、ベンダーにセキュリティ調査票の提出を求めています。多くの制御システムで潜在的な影響があるため、リスクを測定し管理するために複数のアプローチを使用することが推奨されます。
高成熟度組織と低成熟度組織の比較で特に注目すべきは、技術テスト（高成熟度組織：69.6%、低成熟度組織：41.6%）」と、「IEC62443-4-1の準拠（高成熟度組織：34.8%、低成熟度組織：17.6%）に大きな違いがみられる点です。また、「ベンダーの製品とサービスの両方またはその一方におけるリスクプロファイルの社内審査」の実施についても大幅な差が表れています（高成熟度組織：73.9%、低成熟度組織：52.0%）。

ほとんどの回答者が「過去1年間に制御システムサイバーセキュリティ予算は増加した」と回答しましたが、全体の約10％が「2020年より減少見込み」としており、これは2019年予算との比較を聞いた前回調査の1.7％を大きく上回りました。さらに、予算の伸び率は前回調査の30～50%から10～30%に低下しており、これは少なくとも、部分的にはパンデミックが影響していると思われます。
全体的には予算増の傾向は続くとみられ、全体の約3分の2（60.4%）が「2021年の予算は2020年より少なくとも10%以上増加する見込み」と回答しています。多くの組織において、予算面での制約より新型コロナウイルス感染症（COVID-19）の感染拡大によるリモートワーカーのアクセス需要の急増が勝り、ネットワークセグメンテーションとIDアクセス管理への支出増加を招きました。

組織は、制御システムサイバーセキュリティサービスの提供元として社内リソースに大きく依存しており、最も多い回答は「社内OTセキュリティリソース」の39.6％、次いで「社内ITセキュリティリソース」の38.7％となりました。また、今回の調査結果によると、組織は平均して2～3種類のサービスを組み合わせて利用していることがわかりました。
成熟度別に分類したところ、高成熟度組織は、低成熟度組織よりもすべてのサービスを頻繁に利用し、より包括的なアプローチをとっていることが明らかな結果となりました。

「セキュリティ意識向上トレーニング」の活用が、制御システムの現場で発展しつつある一方、日々進化するサイバー攻撃の手口に対してトレーニングの発展・浸透が追い付かず、各セキュリティ事象の危険性に対する認知度・理解度には差があるのが実態です。
主な懸念は、回答者の約2割（17.4%）が、制御システムセキュリティ意識向上トレーニングをまったく実施していないということです。ごくわずかな改善がみられるものの（2020年の調査結果では20.6％）、制御システムを安全に保つための責任について、すべての担当者に認識させる重要性を強調しなければなりません。

2020年と比較すると、制御システムサイバーセキュリティのマネージドサービスをすでに導入している割合が若干増加し（約5％増）、「まったく計画していない」とする回答が減少しています。高成熟度組織と低成熟度組織とではいくつかの差がみられましたが、従業員規模に基づく組織間の明確な傾向はみられませんでした。
「十分なトレーニングがされ専門知識を備えた内部リソースの不足」は、前回に引き続き、組織が制御システムサイバーセキュリティのマネージドサービスを導入する主な動機となっています。約44％がこの要因のみを単独で選択し、両方選択した割合も含めると全体で約68％となっています。

半数以上が、制御システムのネットワーク稼働状況の監視を実施しており（51.6%）、約3割（29.1％）が「監視の実施予定」と回答しています。残念ながら、約5分の1（19.3%）は監視の計画すらしていません。
制御システムのネットワークを監視できていないということは、組織が侵害された際の最初の兆候として認識するのは運用の中断であり、その時点で脅威者に対して、制御ネットワーク環境へ侵入し偵察するための無期限的なシステム内での滞留を許していることになります。多くのケーススタディによると、まさにこれが要因で、脅威者が気付かれずに自由に行動できる時間が長くなるため、被害の程度や排除の難易度ははるかに高くなります。
さらに興味深いのは、低成熟度組織と高成熟度組織の回答に明確な違いがあることで、後者では制御システムのネットワーク稼働状況の監視を実施しているだけでなく、さらに頻度を増やす傾向が顕著にみられます。

2021年と2020年の報告書を直接比較することは、調査方法の変更により不可能ですが、過去12ヵ月以内に制御システムセキュリティインシデントに起因する被害として、「負傷」が1.3%から6.9%に、「人命の損失」が1.3%から6.2%と明らかに増えています。この理由として考えられるのは、医療関係者の割合が高いこと（2021年の調査回答者の12%以上が医療にかかわる仕事をしている）、医療システムに対するランサムウェア攻撃6が急増していることがあります。

2021年の調査で新たに追加されたベクトルである「ベンダーのアップデートによる脆弱性」は、21.9%と予想以上に高い結果となりました。選択肢を増やしたことで希釈効果が出たベクトルもありますが、おおむね2020年より上昇しました。特に、「物理的なセキュリティ侵害（2020年：8.1％、2021年：17.4％）」、「RF（無線周波数／高周波）通信攻撃（2020年：1.8%、2021年：15.5%）」、「クラウド事業者・サービスへの侵害（2020年：6.3％、2021年：12.3％）」、「Wi-Fiへの侵害（2020年：2.7%、2021年：11.0%）」などが顕著でした。

セキュリティは目的地ではなく、継続的に追求するものです。確実に安全であるという理想的な状態は、あくまでも仮説であり、現在の世界では達成できない可能性が高いと言えるでしょう。
KPMGは、組織が可能な限りセキュリティの目標達成に向けて努力し続けることを推奨し、支援します。

※調査結果の全文はPDFをご覧ください。