制御システムサイバーセキュリティ年次報告書2024

本報告書は、Control System Cyber Security Association International（(CS)²AI）とその会員を対象に、制御システムのセキュリティインシデント、サイバー攻撃の傾向、重要なシステムや資産を守るために組織が重点的に資金を投じている分野について質問を行った結果に基づくものです。

今回の調査では、制御システムセキュリティ業界における複数の重要な傾向と課題が浮き彫りになりました。サイバー攻撃の増加が懸念される一方で、組織はサイバーセキュリティに対する予算の確保に一段と積極的になり、予防策に重点的に取り組み、サプライチェーンへの攻撃の脅威を認識するようになっています。

※本ページ上の紹介はレポートの一部であり、調査結果の全文はページ末尾のPDFをご参照ください。
※レポートでは、便宜的に、積極的にディフェンスを行っている組織を「高成熟度組織」、ディフェンスに対し消極的な組織を「低成熟度組織」として記述しています。

組織が利用する制御システムサイバーセキュリティプログラムの成熟度の測定は本調査のカギであり、その他の多くのデータを評価する際の指標となります。各レベルに分類された回答者の数には変動がみられ、特にレベル2の回答者が増加しました。しかし、高成熟度組織と低成熟組織の各グループの総計はほとんど変化していません。回答者は、自組織のプログラムについて一貫性をもった評価を続けています。

各レベルの定義は以下の通りです。

• レベル1：サイバーセキュリティ対策は初歩的な段階で、個々の問題にその場で対応している。
  
• レベル2：標準化されたプロセスが導入されているものの、全体的な管理や統制はまだ不十分である。
  
• レベル3：文書化されたプロセスや手順に基づいて対策が行われ、適切なリソース提供に関する規範やガイドラインが策定されている。
• レベル4：データの収集と分析が行われ、一部自動で指標の追跡や事前検知に対応している。
• レベル5：サイバーセキュリティプロセスは最適化・自動化がされており、組織のニーズに適切に対応している。

※本レポートでは、レベル4、5の組織を｢高成熟度組織｣、レベル1、2の組織を｢低成熟度組織｣と定義します。

制御システムサイバーセキュリティのKPI

高成熟度組織が低成熟度組織よりも多くの重要業績評価指標（KPI）を設定していることは驚くにはあたりませんが、KPIを設定していると回答した低成熟度組織の割合が少ないことが懸念されます。低成熟度組織の85％が何らかのKPIを設定しているものの、多くの組織はごくわずかしかモニタリングを行っていません。KPIのモニタリングを強化することで、セキュリティプログラムの有効性を向上させることが強く推奨されています。

高成熟度組織と低成熟度組織の制御システムサイバーセキュリティプログラムを比較し、何がうまくいっていて何がうまくいっていないのか、また、組織がセキュリティ向上の取組みを進めるにつれてどのように物事が変化しているのかを確認します。
高成熟度組織は、低成熟度組織が取組み中である、制御システムサイバーセキュリティのハードルの一部をすでに克服していることがわかります。

克服すべきセキュリティのハードルに関する高成熟度組織と低成熟度組織の回答を比較すると、制御システムサイバーセキュリティへの支出で最も投資対効果（ROI）が高いと考える分野において意見の一致が多くみられます。
一方で、いくつかの項目で注目すべき明確な差が表れています。

このことが示す1つの可能性は、最も成熟度の高い組織はすでにチームを統合し、当然、堅固なバックアップシステムや手順を実装しているということです。両グループで｢制御ネットワークのセグメンテーション／マイクロセグメンテーション｣のROIが最も高いと考えていることがわかりました。数年間に及ぶ調査と、セキュリティ全体の改善およびサイバーインシデントによる影響減少のためにこれを導入すべきとの提言に沿っています。

また、高成熟度組織は、｢セキュリティ意識向上トレーニング｣に非常に多く投資しており（高成熟度組織：50％、低成熟度組織：29％、全体：35％）、一方で、｢制御システムサイバーセキュリティ関連のコンサルティングサービス｣を重視している高成熟度組織の回答者は比較的少数（高成熟度組織：20％、低成熟度組織：33％、全体：34％）であることがわかります。

2025年度のセキュリティ投資では、「ネットワークセグメンテーション」への投資を計画している組織が少ないことは注目に値します。これは、高成熟度組織はすでに十分なネットワークセグメンテーションを実施済みであるために、現在は低成熟度組織（15％）よりも少ない（3％）支出にとどまっていることを示している可能性があります。また、｢脅威検知｣および｢資産管理｣に関する投資計画の違いも、同様の要因と考えられます。

高成熟度組織と低成熟度組織の差が明確に表れた調査結果の1つは、制御システムサイバーセキュリティアセスメントの実施頻度です。高成熟度組織の半数が少なくとも四半期に1回アセスメントを実施している一方、低成熟度組織の半数以上は毎年1回以下の実施にとどまっています。

徹底したセキュリティアセスメントを実施しているかどうかは、実施頻度と同様に重要です。下記の図表のとおり、高成熟度組織の回答がほぼすべての項目で50％以上となっており、低成熟度組織よりもアセスメント実施を徹底していることがわかります。

全体として、高成熟度組織はあらゆるセキュリティ技術を低成熟度組織よりも高い頻度で使用している傾向にあります。また、｢アクティブな侵入防御システム（IPS）｣（低成熟度組織：37％、高成熟度組織：78％）および｢パッシブな侵入検知システム（IDS）｣（低成熟度組織：53％、高成熟度組織：81％）の利用状況には大きな差が表れました。これは、高成熟度組織はより短時間で侵入を特定・遮断することにより、システムへの潜在的な影響を軽減できる可能性がはるかに高いことを示しています。

世界における各攻撃ベクトルの頻度について分析した結果、前年よりも複数の項目で明確な増加がみられました。
｢クラウド事業者・サービスへの侵害｣（2020年：6％、2023年：25％）、｢組織のウェブサイトへの侵害｣（2020年：6％、2023年：17％）および｢Wi-Fiへの侵害｣（2020年：3％、2023年：17％）の回答割合が継続して増加していることは注目に値します。また、攻撃者はフィッシングにとどまらず、標的とする攻撃対象領域以外の部分にも拡大しているとの脅威に関する調査報告を裏付けています。｢クラウド事業者・サービスへの侵害｣および｢Wi-Fiへの侵害｣は、少なくとも部分的には、近年の制御システムセキュリティ環境において、これらのソリューションの利用が増加していることが原因である可能性があります。

※調査結果の全文はPDFをご覧ください。

本レポートに関連する参考記事やサービスを紹介します。ぜひ、あわせてご覧ください。