2023年のOTに対する脅威動向をTXOneが調査

TXOne Networksは3月19日、産業用制御システムに関する脅威動向をまとめた2023年版レポート「OT/ICSサイバーセキュリティレポート 2023」として、「ITとOTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ」を発表。併せて、メディアブリーフィングを開催し、同レポートの内容説明を行った。

  • 「ITとOTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ」

    「ITとOTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ」の表紙 (提供:TXOne。以下、すべてのデータ同様)

同レポートの調査はフロスト&サリバンと共同で行っており、自動車、製薬、バイオテクノロジー、化学、一般製造、石油、ガス、運輸の各分野における主要なITおよびOTセキュリティ分野の意思決定者405人を対象にして2023年9月に実施(米国102名、UAE100名、独101名、日本102名)されたほか、2023年に世界中で発生した545件のサイバーセキュリティインシデントから得られたTXOneの脅威調査とあわせる形でまとめたものとなっている。

  • 調査方法の概要

    調査方法の概要

主な調査内容としては、「OT/ICSにおけるサイバー脅威概況」「OT/ICSサイバーセキュリティの現状」「新しい基準と規制」「サイバーフィジカルシステムに対するあるべき防御の形」としており、それらを以下のような主な内容に落とし込んで作られている。

  • ランサムウェアの脅威
  • OTシステムのメンテナンスと情報技術(IT)の統合に関する懸念
  • 国家支援型のサイバー攻撃とその影響
  • OTおよび産業用制御システム(ICS)のセキュリティ管理専門チーム
  • OT/ICSサイバーセキュリティへの投資
  • OT/ICS防御を推進する新たな規制と標準
  • サプライチェーンの完全性

増加するOTに対するランサムウェア攻撃

調査の中で見えてきたトピックスとしては、過去12カ月の間に回答者の47%がOTに対するランサムウェア攻撃を受けたと答えたほか、38%がパッチ未適用のシステムの脆弱性に直面したと答え、OTに対するランサムウェア攻撃が増加傾向にあることが浮き彫りになったとする。

  • 2023年はOTに対するランサムウェア攻撃を多くの企業で確認することとなった

    2023年はOTに対するランサムウェア攻撃を多くの企業で確認することとなった

また、ランサムウェア攻撃を受けた主要産業としては、「政府機関」がトップ、次いで「医療・公衆衛生」と公共性の高いものが続くが、3番目に多かったのは「製造業」であり、特に製造業については、日本や欧州が影響を受けた地域となっており、中でも日本は大規模なランサムウェア攻撃を受けたとする。

  • 2023年に入るとBlackCatが台頭

    OTに向けたランサムウェアの種類も、2022年はLockBitがメインであったが、2023年に入るとBlackCatが台頭してきたという

こうしたOTセキュリティインシデントを引き起こした原因については、ほとんどの国でOTメンテナンスの不備を回答者のほぼ過半が指摘しているほか、IT作業の不備も同程度に指摘。TXOneでは、システム停止による手当てができずに長期間にわたって放置されたままの脆弱性が、リモートアクセスなその手段で悪用された結果、インシデントが引き起こされたと分析している。

さらに、このようなサイバー攻撃を国が主導する形で他国に向けて実施されることも見受けられるようになっており、回答者の8割ほどがそうした国家によるサイバー攻撃に対する相当な懸念を持っていることも浮き彫りになったとする。

ITのセキュリティインシデントがOT環境にも影響を及ぼす時代に

このほか、OT環境のネットワークセキュリティ設定方法としては、IT-OT集約型ネットワークへの移行が進められつつあり、ハイブリッドネットワークへの移行も加味すると実に76%がITとOTをつなげる方向に進んでいることも判明。ITとOTがつながることで、IT側のセキュリティインシデントがOTの環境にも影響をおよぼすようになってきており、実に回答者の97%がITセキュリティインシデントが何らかのOT環境に影響を及ぼしたと答えている。

  • OTネットワークとITネットワークがつながる機会が増加傾向にある

    OTネットワークとITネットワークがつながる機会が増加傾向にある

TXOne Networks Japan 業務執行役員 技術本部長の本多雅彦氏は「2022年は94%であったのが97%にまで到達した。これはIT側で何らかのセキュリティインシデントが発生した場合、OT側もほぼ何らかの影響を受けることになることを意味する」と傾向を分析する。

  • TXOne Networks Japan 業務執行役員 技術本部長の本多雅彦氏

    説明を行ったTXOne Networks Japan 業務執行役員 技術本部長の本多雅彦氏 (提供:TXOne)

一方で、ITとOTの接続にともない、セキュリティ環境の構築が複雑化していくことになるが、その複雑さの理解が進み、サイバーセキュリティが複雑になっていることに起因する問題の複雑さの認識としては、2022年の72%から59%まで低減。本多氏は「複雑化が進む一方、その理解や習熟度が上がってきたものが推察される」と、運用側のノウハウも着実に積み重ねられてきているとの見方を示す。

こうしたOT/ICSのサイバーセキュリティの成熟度を国別に調べたところ、米国やUAEではすべての機能においサイバーセキュリティ対策が包括的行われ統合されているレベル5の割合が25%に到達。一方の日本やドイツは数%に留まるが、防御と検知をカバーする堅牢な対策を実現しているレベル3の割合は90%前後に達しており、国によっての違いが浮き彫りになったという。

  • OT/ICSのサイバーセキュリティの国別成熟度

    OT/ICSのサイバーセキュリティの国別成熟度では、地域差的な違いが見えることとなった

ただし、全体の68%の企業が、今後12カ月でOT専用のセキュリティ支出を増加させるとの予想を示しているが、実は2022年は同じ回答をした企業の割合は76%、日本では86%(2022年)であったものが59%に減少している。この傾向について本多氏は「ITとOTの統合が進んだことにより、企業はITセキュリティとOTセキュリティの予算を共有するようになっており、OT単体としてのセキュリティ支出という概念が薄くなってきているためではないか」と分析している。

  • OTサイバーセキュリティの意思決定者として3番目にCEOが浮上

    OTサイバーセキュリティの意思決定者として3番目にCEOが浮上。これまでは副社長や担当役員などの方が上位に来ていたが、この1年で会社全体としてのOTセキュリティに対する意識の高まりなどがあり、CEOが最終判断を下すケースが増えてきたことも要因とみられるという

その予算の配分として、優先的に取り組む分野として多いのは「データセキュリティ」「テクノロジーインフラのレジリエンス」「個人情報の管理、認証、およびアクセス制御」としており、特にレジリエンスに関する投資が米国と欧州で顕著だという。

なお、本多氏は、「サイバーセキュリティのさまざまな脅威は簡単に防ぐことができない。アンチウィルスソフトで、さまざまなパターンを更新していくことで守ることができるが未知の脅威に対しては振る舞い検知などを活用して異常を判別することを実現していく必要があり、TXOneでも、OTセキュリティの複雑さをシンプルに解決することを目指したソリューションの提供を進めている」と、今後、重要資産の保護とオペレーションのレジリエンスの向上の両立ができるソリューションが求められるようになってくることを踏まえた複雑化するOTセキュリティにマッチしたソリューションなどを提供していきたいと自社の今後の取り組みについて説明している。

  • TXOneのOTセキュリティ向けソリューション
  • TXOneのOTセキュリティ向けソリューション
  • TXOneのOTセキュリティ向けソリューション各種。さまざまなレイヤごとに対して、必要とされるセキュリティ機能を提供できるように取り組んでいるとする