本報告書は、Control System Cyber Security Association International((CS)2AI)とその会員を対象に、制御システムのセキュリティインシデント、サイバー攻撃の傾向、重要なシステムや資産を守るために組織が重点的に資金を投じている分野について質問を行った結果に基づくものです。

今回の調査では、制御システムセキュリティ業界における複数の重要な傾向と課題が浮き彫りになりました。サイバー攻撃の増加が懸念される一方で、組織はサイバーセキュリティに対する予算の確保に一段と積極的になり、予防策に重点的に取り組み、サプライチェーンへの攻撃の脅威を認識するようになっています。

※本ページ上の紹介はレポートの一部であり、調査結果の全文はページ末尾のPDFをご参照ください。
※レポートでは、便宜的に、積極的にディフェンスを行っている組織を「高成熟度組織」、ディフェンスに対し消極的な組織を「低成熟度組織」として記述しています。

ハイライト

  • セキュリティ人材の不足
    サイバーセキュリティ分野のスキルを持つ人材の不足が主要な課題として浮上しています。サイバー脅威の高まりに伴い、サイバーセキュリティの専門家に対する需要はかつてないほど高まっており、従業員のサイバーセキュリティに関するスキルの向上とトレーニングへの投資の必要性が示されています。

  • 組織のセキュリティプログラムにおける成熟度評価
    組織ごとにプログラムの成熟度にばらつきがあり、高正熟度組織は、セキュリティトレーニングやバックアップシステムの整備に積極的に投資しています。低正熟度組織は、対応が遅れている傾向があります。

  • 2025年度計画のセキュリティ支出
    高成熟度組織は、制御システムサイバーセキュリティの支出で投資対効果(ROI)が高いと考えられる分野を積極的に特定しており、「ネットワークセグメンテーション」への投資を計画している組織が少ないことは注目に値します。高成熟度組織は、十分なネットワークセグメンテーションを実施済みであるために少ない支出にとどまっている可能性があり、「脅威検知」および「資産管理」に関する投資計画の違いも、同様の要因と考えられます。
     
  • セキュリティアセスメントの実施
    セキュリティアセスメントの実施頻度について、高成熟度組織と低成熟度組織の差が顕著に表れています。高正熟度組織では、セキュリティ意識向上トレーニング、インシデント計画、サイバーセキュリティポリシーの見直しなど、包括的なセキュリティアセスメントを実施しており(すべての項目で60%以上)、特にネットワークアーキテクチャの見直しに積極的です。一方、低正熟度組織では、これらの取組みが遅れており、包括的なアセスメント実施率も低い傾向にあります。
     
  • 攻撃ベクトルの多様化
    サイバー攻撃の対象や手法が多様化しており、クラウドサービスへの攻撃が顕著に増加しています。(2020年:6%、2023年:25%)また、組織のウェブサイトへの攻撃(2020年:6%、2023年:17%)やWi-Fiネットワークの侵害も(2020年:3%、2023年:17%)に増加しています。

1.制御システムサイバーセキュリティプログラム

組織が利用する制御システムサイバーセキュリティプログラムの成熟度の測定は本調査のカギであり、その他の多くのデータを評価する際の指標となります。各レベルに分類された回答者の数には変動がみられ、特にレベル2の回答者が増加しました。しかし、高成熟度組織と低成熟組織の各グループの総計はほとんど変化していません。回答者は、自組織のプログラムについて一貫性をもった評価を続けています。

【制御システムサイバーセキュリティプログラムの成熟度レベル】

制御システムサイバーセキュリティ年次報告書 2024_図表1

各レベルの定義は以下の通りです。

  • レベル1:サイバーセキュリティ対策は初歩的な段階で、個々の問題にその場で対応している。
  • レベル2:標準化されたプロセスが導入されているものの、全体的な管理や統制はまだ不十分である。
  • レベル3:文書化されたプロセスや手順に基づいて対策が行われ、適切なリソース提供に関する規範やガイドラインが策定されている。
  • レベル4:データの収集と分析が行われ、一部自動で指標の追跡や事前検知に対応している。
  • レベル5:サイバーセキュリティプロセスは最適化・自動化がされており、組織のニーズに適切に対応している。

※本レポートでは、レベル4、5の組織を「高成熟度組織」、レベル1、2の組織を「低成熟度組織」と定義します。

制御システムサイバーセキュリティのKPI

高成熟度組織が低成熟度組織よりも多くの重要業績評価指標(KPI)を設定していることは驚くにはあたりませんが、KPIを設定していると回答した低成熟度組織の割合が少ないことが懸念されます。低成熟度組織の85%が何らかのKPIを設定しているものの、多くの組織はごくわずかしかモニタリングを行っていません。KPIのモニタリングを強化することで、セキュリティプログラムの有効性を向上させることが強く推奨されています。

【KPIモニタリングの項目】

制御システムサイバーセキュリティ年次報告書 2024_図表2

2.制御システムサイバーセキュリティへの攻撃を防ぐうえでのハードル

高成熟度組織と低成熟度組織の制御システムサイバーセキュリティプログラムを比較し、何がうまくいっていて何がうまくいっていないのか、また、組織がセキュリティ向上の取組みを進めるにつれてどのように物事が変化しているのかを確認します。
高成熟度組織は、低成熟度組織が取組み中である、制御システムサイバーセキュリティのハードルの一部をすでに克服していることがわかります。

【制御システムサイバーセキュリティにおけるハードルの比較】

制御システムサイバーセキュリティ年次報告書 2024_図表3

3.制御システムサイバーセキュリティの支出と予算

克服すべきセキュリティのハードルに関する高成熟度組織と低成熟度組織の回答を比較すると、制御システムサイバーセキュリティへの支出で最も投資対効果(ROI)が高いと考える分野において意見の一致が多くみられます。
一方で、いくつかの項目で注目すべき明確な差が表れています。

このことが示す1つの可能性は、最も成熟度の高い組織はすでにチームを統合し、当然、堅固なバックアップシステムや手順を実装しているということです。両グループで「制御ネットワークのセグメンテーション/マイクロセグメンテーション」のROIが最も高いと考えていることがわかりました。数年間に及ぶ調査と、セキュリティ全体の改善およびサイバーインシデントによる影響減少のためにこれを導入すべきとの提言に沿っています。

【投資対効果が高い分野】

制御システムサイバーセキュリティ年次報告書 2024_図表4

また、高成熟度組織は、「セキュリティ意識向上トレーニング」に非常に多く投資しており(高成熟度組織:50%、低成熟度組織:29%、全体:35%)、一方で、「制御システムサイバーセキュリティ関連のコンサルティングサービス」を重視している高成熟度組織の回答者は比較的少数(高成熟度組織:20%、低成熟度組織:33%、全体:34%)であることがわかります。

【制御システムサイバーセキュリティへの支出が多い分野】

制御システムサイバーセキュリティ年次報告書 2024_図表5

2025年度のセキュリティ投資では、「ネットワークセグメンテーション」への投資を計画している組織が少ないことは注目に値します。これは、高成熟度組織はすでに十分なネットワークセグメンテーションを実施済みであるために、現在は低成熟度組織(15%)よりも少ない(3%)支出にとどまっていることを示している可能性があります。また、「脅威検知」および「資産管理」に関する投資計画の違いも、同様の要因と考えられます。

【2025年以降に最も多く投資する分野】

制御システムサイバーセキュリティ年次報告書 2024_図表6

4.制御システムサイバーセキュリティのアセスメント

高成熟度組織と低成熟度組織の差が明確に表れた調査結果の1つは、制御システムサイバーセキュリティアセスメントの実施頻度です。高成熟度組織の半数が少なくとも四半期に1回アセスメントを実施している一方、低成熟度組織の半数以上は毎年1回以下の実施にとどまっています。

【制御システムサイバーセキュリティのアセスメントの実施頻度】

制御システムサイバーセキュリティ年次報告書 2024_図表7

徹底したセキュリティアセスメントを実施しているかどうかは、実施頻度と同様に重要です。下記の図表のとおり、高成熟度組織の回答がほぼすべての項目で50%以上となっており、低成熟度組織よりもアセスメント実施を徹底していることがわかります。

【組織の制御システムサイバーセキュリティのアセスメントに含まれる要素】

制御システムサイバーセキュリティ年次報告書 2024_図表8

5.制御システムセキュリティのネットワーク

全体として、高成熟度組織はあらゆるセキュリティ技術を低成熟度組織よりも高い頻度で使用している傾向にあります。また、「アクティブな侵入防御システム(IPS)」(低成熟度組織:37%、高成熟度組織:78%)および「パッシブな侵入検知システム(IDS)」(低成熟度組織:53%、高成熟度組織:81%)の利用状況には大きな差が表れました。これは、高成熟度組織はより短時間で侵入を特定・遮断することにより、システムへの潜在的な影響を軽減できる可能性がはるかに高いことを示しています。

6.制御システムセキュリティのインシデント

世界における各攻撃ベクトルの頻度について分析した結果、前年よりも複数の項目で明確な増加がみられました。
「クラウド事業者・サービスへの侵害」(2020年:6%、2023年:25%)、「組織のウェブサイトへの侵害」(2020年:6%、2023年:17%)および「Wi-Fiへの侵害」(2020年:3%、2023年:17%)の回答割合が継続して増加していることは注目に値します。また、攻撃者はフィッシングにとどまらず、標的とする攻撃対象領域以外の部分にも拡大しているとの脅威に関する調査報告を裏付けています。「クラウド事業者・サービスへの侵害」および「Wi-Fiへの侵害」は、少なくとも部分的には、近年の制御システムセキュリティ環境において、これらのソリューションの利用が増加していることが原因である可能性があります。

【過去12ヵ月以内に発生した制御システムセキュリティインシデントで悪用された攻撃ベクトル】

制御システムサイバーセキュリティ年次報告書 2024_図表9

※調査結果の全文はPDFをご覧ください。

本レポートに関連する参考記事やサービスを紹介します。ぜひ、あわせてご覧ください。

お問合せ