KPMGコンサルティング、 「制御システムサイバーセキュリティ年次報告書2024」(日本語版)を発表
制御システムのサイバーセキュリティに関するグローバルの調査で、約半数の組織は依然として制御システムのサイバーセキュリティプログラムの導入が不十分と回答しました。
制御システムのサイバーセキュリティに関するグローバルの調査で、約半数の組織は依然として制御システムのサイバーセキュリティプログラムの導入が不十分と回答しました。
KPMGコンサルティング株式会社(本社:東京都千代田区、代表取締役社長 兼 CEO:宮原 正弘、以下、KPMGコンサルティング)は、企業・組織における制御システムのサイバーセキュリティ(Control System Cyber Security、以下(CS)2)に関する取組みやインシデントによる被害の状況等について調査結果をまとめた「(CS)2AI - KPMG制御システムサイバーセキュリティ年次報告書2024」(日本語版)を本日発表しました。
本レポートは、世界各国で約630人以上の業界関係者と、約34,000人におよぶ制御システムの安全確保を担うあらゆるレベルの担当者を支援する非営利人材開発組織(CS)2AI(Control System Cyber Security Association International)の会員を対象に、「制御システムへの攻撃を防ぐうえでのハードル」「制御システムへの支出と予算」「インシデントによる被害状況」といった項目について、調査結果をまとめたものです。
なお、本レポートでは、制御システムサイバーセキュリティプログラムの成熟度が高い組織(高成熟度組織:レベル4およびレベル5)と成熟度の低い組織(低成熟度組織:レベル1およびレベル2)を軸に、過去2回(2020年・2021年)の調査結果、地域、役職、エンドユーザーやベンダー別の回答など、さまざまな切り口から比較分析しています。これにより、自社のセキュリティ対策の状況に合わせ、制御システムサイバーセキュリティの取組みの現状と、目指すべき将来像の実現をより具体的に確認することができます。
【主な調査結果】
前回(2020年)前々回(2021年)調査と比較して最も多かった回答が、レベル3からレベル2に後退しており、約半数の組織が基本的なプログラムのみを利用している低成熟度組織との回答となった。
制御システムサイバーセキュリティに関する課題は、高成熟度組織・低成熟度組織ともに、専門知識の不足が1位に。
投資効果が高いと考える(CS)2の分野は、高成熟度組織・低成熟度組織ともに「制御ネットワークのセグメンテーション/マイクロセグメンテーション」が1位に。
高成熟度組織の半数が少なくとも四半期に1回アセスメントを実施している一方、低成熟度組織の半数以上は毎年1回以下の実施にとどまる。
攻撃ベクトル(攻撃経路)は「クラウド事業者・サービスへの侵害」「組織のウェブサイトへの侵害」「Wi-Fiへの侵害」など、ネットワーク関連が増加。 |
【調査結果詳細】
- (CS)2プログラムの成熟度:縦断的分析
各レベルに分類された回答者の数には変動がみられ、特にレベル2の回答者が28%から33%に増加しましたが、レベル3は32%から28%に減少しています。また、約半数の組織が基本的なプログラムのみを利用している低成熟度組織(レベル1およびレベル2)との回答となりました。
【自組織の制御システムサイバーセキュリティプログラムについて、最も近いと思われるレベルを教えてください】
- (CS)2のハードル:高成熟度組織と低成熟度組織の比較
両組織ともに「制御システムサイバーセキュリティに関する専門知識の不足」(低成熟度組織:51%、高成熟度組織:53%)が、最も多い結果となりました。一方で、 「管理職のサポート不足」(低成熟度組織:25%、高成熟度組織:16%)や「暗号化をサポートしていないテクノロジー」(低成熟度組織:26%、高成熟度組織:13%)など、高成熟度組織と比較して低成熟度組織の回答割合が高い項目は、高成熟度組織にとって既に克服したハードルであることを示しています。
【(CS)2への攻撃を防ぐうえでの最大のハードルを教えてください】
- (CS)2の支出と予算:高成熟度組織と低成熟度組織の比較
高成熟度組織・低成熟度組織ともに、「制御ネットワークのセグメンテーション/マイクロセグメンテーション」のROIが最も高いと考えていることがわかりました。なお、高成熟度組織は、4つの項目で半数を超えており、投資すべき分野がより明確にしている傾向がみられます。
【(CS)2の投資対効果が高い分野:高成熟度組織と低成熟度組織の比較】
- (CS)2アセスメントの実施頻度:高成熟度組織と低成熟度組織の比較
高成熟度組織の半数が少なくとも四半期に1回アセスメントを実施している一方、低成熟度組織の半数以上は毎年1回以下の実施にとどまっています。また、低成熟度組織では「セキュリティインシデントが発生するごとに実施」が「毎四半期」と並び2番目に多い項目で、インシデントが起きてから対応している傾向がみられます。なお、低成熟度組織の9%がセキュリティアセスメントを実施していないと回答しています。
【(CS)2アセスメントの実施頻度】
- 昨今の(CS)2攻撃ベクトル:縦断的分析
全世界における各攻撃ベクトルの頻度について分析しました。前回までの結果と比較すると、複数の項目で明確な増加がみられました。「クラウド事業者・サービスへの侵害」(2020年:6%、2023年:25%)、「組織のウェブサイトへの侵害」(2020年:6%、2023年:17%)および「Wi-Fiへの侵害」(2020年:3%、2023年:17%)の回答割合が継続して増加しています。また、攻撃者はフィッシングにとどまらず、標的とする攻撃対象領域以外の部分にも拡大しているとの脅威に関する調査報告を裏付けています。
【過去12ヵ月以内に組織内で発生した(CS)2インシデントで悪用された攻撃ベクトル】
本レポートの全文はこちらからダウンロードできます:「制御システムサイバーセキュリティ年次報告書2024」
KPMGコンサルティングについて
KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジートランスフォーメーション、リスク&コンプライアンスの3分野から企業を支援するコンサルティングファームです。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。