本報告書は、Control System Cyber Security Association International((CS)2AI)とその会員を対象に、制御システムのセキュリティインシデント、サイバー攻撃の傾向、重要なシステムや資産を守るために組織が重点的に資金を投じている分野について質問を行った結果に基づくものです。
今回の調査では、制御システムセキュリティ業界における複数の重要な傾向と課題が浮き彫りになりました。サイバー攻撃の増加が懸念される一方で、組織はサイバーセキュリティに対する予算の確保に一段と積極的になり、予防策に重点的に取り組み、サプライチェーンへの攻撃の脅威を認識するようになっています。
※本ページ上の紹介はレポートの一部であり、調査結果の全文はページ末尾のPDFをご参照ください。
※レポートでは、便宜的に、積極的にディフェンスを行っている組織を「高成熟度組織」、ディフェンスに対し消極的な組織を「低成熟度組織」として記述しています。
ハイライト
|
主な調査項目
1.制御システムサイバーセキュリティプログラム
【制御システムサイバーセキュリティプログラムの成熟度レベル】
各レベルの定義は以下の通りです。
- レベル1:サイバーセキュリティ対策は初歩的な段階で、個々の問題にその場で対応している。
- レベル2:標準化されたプロセスが導入されているものの、全体的な管理や統制はまだ不十分である。
- レベル3:文書化されたプロセスや手順に基づいて対策が行われ、適切なリソース提供に関する規範やガイドラインが策定されている。
- レベル4:データの収集と分析が行われ、一部自動で指標の追跡や事前検知に対応している。
- レベル5:サイバーセキュリティプロセスは最適化・自動化がされており、組織のニーズに適切に対応している。
※本レポートでは、レベル4、5の組織を「高成熟度組織」、レベル1、2の組織を「低成熟度組織」と定義します。
制御システムサイバーセキュリティのKPI
高成熟度組織が低成熟度組織よりも多くの重要業績評価指標(KPI)を設定していることは驚くにはあたりませんが、KPIを設定していると回答した低成熟度組織の割合が少ないことが懸念されます。低成熟度組織の85%が何らかのKPIを設定しているものの、多くの組織はごくわずかしかモニタリングを行っていません。KPIのモニタリングを強化することで、セキュリティプログラムの有効性を向上させることが強く推奨されています。
【KPIモニタリングの項目】
2.制御システムサイバーセキュリティへの攻撃を防ぐうえでのハードル
【制御システムサイバーセキュリティにおけるハードルの比較】
3.制御システムサイバーセキュリティの支出と予算
克服すべきセキュリティのハードルに関する高成熟度組織と低成熟度組織の回答を比較すると、制御システムサイバーセキュリティへの支出で最も投資対効果(ROI)が高いと考える分野において意見の一致が多くみられます。
一方で、いくつかの項目で注目すべき明確な差が表れています。
このことが示す1つの可能性は、最も成熟度の高い組織はすでにチームを統合し、当然、堅固なバックアップシステムや手順を実装しているということです。両グループで「制御ネットワークのセグメンテーション/マイクロセグメンテーション」のROIが最も高いと考えていることがわかりました。数年間に及ぶ調査と、セキュリティ全体の改善およびサイバーインシデントによる影響減少のためにこれを導入すべきとの提言に沿っています。
【投資対効果が高い分野】
また、高成熟度組織は、「セキュリティ意識向上トレーニング」に非常に多く投資しており(高成熟度組織:50%、低成熟度組織:29%、全体:35%)、一方で、「制御システムサイバーセキュリティ関連のコンサルティングサービス」を重視している高成熟度組織の回答者は比較的少数(高成熟度組織:20%、低成熟度組織:33%、全体:34%)であることがわかります。
【制御システムサイバーセキュリティへの支出が多い分野】
2025年度のセキュリティ投資では、「ネットワークセグメンテーション」への投資を計画している組織が少ないことは注目に値します。これは、高成熟度組織はすでに十分なネットワークセグメンテーションを実施済みであるために、現在は低成熟度組織(15%)よりも少ない(3%)支出にとどまっていることを示している可能性があります。また、「脅威検知」および「資産管理」に関する投資計画の違いも、同様の要因と考えられます。
【2025年以降に最も多く投資する分野】
4.制御システムサイバーセキュリティのアセスメント
【制御システムサイバーセキュリティのアセスメントの実施頻度】
徹底したセキュリティアセスメントを実施しているかどうかは、実施頻度と同様に重要です。下記の図表のとおり、高成熟度組織の回答がほぼすべての項目で50%以上となっており、低成熟度組織よりもアセスメント実施を徹底していることがわかります。
【組織の制御システムサイバーセキュリティのアセスメントに含まれる要素】
5.制御システムセキュリティのネットワーク
6.制御システムセキュリティのインシデント
世界における各攻撃ベクトルの頻度について分析した結果、前年よりも複数の項目で明確な増加がみられました。
「クラウド事業者・サービスへの侵害」(2020年:6%、2023年:25%)、「組織のウェブサイトへの侵害」(2020年:6%、2023年:17%)および「Wi-Fiへの侵害」(2020年:3%、2023年:17%)の回答割合が継続して増加していることは注目に値します。また、攻撃者はフィッシングにとどまらず、標的とする攻撃対象領域以外の部分にも拡大しているとの脅威に関する調査報告を裏付けています。「クラウド事業者・サービスへの侵害」および「Wi-Fiへの侵害」は、少なくとも部分的には、近年の制御システムセキュリティ環境において、これらのソリューションの利用が増加していることが原因である可能性があります。
【過去12ヵ月以内に発生した制御システムセキュリティインシデントで悪用された攻撃ベクトル】
※調査結果の全文はPDFをご覧ください。
本レポートに関連する参考記事やサービスを紹介します。ぜひ、あわせてご覧ください。