フォーティネットは9月2日、年次グローバル調査の結果を分析し「2025年OTサイバーセキュリティに関する現状レポート」を発表した。同レポートは、オペレーショナルテクノロジー(OT)のサイバーセキュリティの現状を示すものであり、IT/OTで拡大し続ける脅威に対処するうえで、組織が今後さらに取り組むべき課題を示している。

調査は、毎年フォーティネットの委託により第三者機関が世界規模で実施しているもので、今年で7年目となる。日本を含む31の国と地域のさまざまな業種のOTユーザーのプロフェッショナル上級職550名以上を対象に実施。

OTセキュリティの責任者が経営幹部に移行

調査結果によると、サイバーセキュリティをCISO(最高情報セキュリティ責任者)などの経営幹部の職責に移行することを検討する企業が増加し、説明責任が経営幹部へと移行し続ける中で、OTセキュリティが取締役会レベルで重要な課題として浮上しているという。

現在、OTサイバーセキュリティの意思決定に影響を与える最も重要な社内の責任者は、CISOまたはCSO(最高セキュリティ責任者)である割合が高くなっており、過半数(52%)の組織がOTの責任をCISO/CSOが担っていると回答し、2022年の16%から増加した。

Cレベル幹部全体で見ると割合は95%に急増しているほか、今後1年以内にOTサイバーセキュリティをCISOの管轄下に置くことを計画している組織は、2025年にかけて60%から80%へと増加している。

  • OTセキュリティの責任者が経営幹部に移行しつつある

    OTセキュリティの責任者が経営幹部に移行しつつある

OTサイバーセキュリティの成熟度は侵入の影響に関係

また、回答者の自己評価では2025年のOTセキュリティ成熟度は高まっており、基本的なレベル1では26%の組織が可視性の確立とセグメンテーションの実施を報告しており、前年の20%から増加。自社のセキュリティ成熟度については、レベル2(アクセスとプロファイリングが確立されている段階)に位置づけた組織が最も多くなっている。

レポートでは、成熟度と攻撃の間に逆相関が見られることも明らかになり、レベル0~4で相対的に成熟度が高いと自己評価している組織では攻撃が相対的に少なく、フィッシングなどの洗練度の低い手口に効果的に対処している。

ただし、高度な標的型攻撃(APT)やOTマルウェアなどの手口は検知が難しく、成熟度の低い組織では攻撃を検知できるセキュリティソリューションが未導入で、侵害の事実を確認できていない可能性がある点には留意が必要とのこと。全体として、半数近くの組織が影響を受けた一方で、侵入の影響は減少しつつあり、特に収益に影響する運用停止の割合は52%から42%に減少した。

  • サイバーセキュリティプログラムの成熟度

    サイバーセキュリティプログラムの成熟度

サイバーセキュリティのベストプラクティス

成熟度が侵入の影響に関係していることに加え、基本的なサイバーセキュリティ対策やトレーニング/啓発などのベストプラクティスの採用が効果を上げていることも示されており、ビジネスメール侵害の大幅な減少を含む具体的な改善が見られているという。

そのほかのベストプラクティスとして、脅威インテリジェンスの活用が2024年から49%急増しているほか、OTデバイスベンダー数が減少しており、業界の成熟と運用効率の向上が示されているとのことだ。

また、OTベンダーを1~4社しか利用していない組織が78%に増加しており、ベストプラクティスの一環としてベンダーを絞り込んでおり、サイバーセキュリティベンダーの集約は成熟の兆候だという。リモートOTサイトでのネットワーキングとセキュリティの統合により、可視性が向上し、サイバーリスクが軽減されることで、フラットネットワークと比較してサイバーインシデントが93%減少している。

  • OTデバイスに使用されているベンダー

    OTデバイスに使用されているベンダー

今回の調査は、組織のセキュリティ態勢を強化するための実用的なインサイトを提示しており、以下のベストプラクティスを採用することで、OTセキュリティに関する諸課題に対処できるようになるとしている。

  • OT資産を可視化し、制御で補完
    組織は自社のOTネットワーク上に存在するすべての機器やシステムを把握・理解できなければならないことから、可視性が確立された後は重要なデバイスや脆弱性が存在する可能性のあるデバイスを保護する必要がある。そのためには、影響を受けやすいOTデバイス用に設計された補完的な防御策が必要になり、プロトコルを意識したネットワークポリシー、システム間の通信分析、エンドポイントの監視などの機能により、脆弱な資産の侵害を検知して防止できる。

  • セグメンテーションを導入
    侵入を減らすためには、すべてのアクセスポイントでネットワークポリシー制御を使用するOT環境が必要。防御性が高いOTアーキテクチャは、ネットワークのゾーンまたはセグメントの作成から始まり、ISA/IEC 62443などの標準でもOTとITネットワーク間、およびOTシステム間の制御を強化するためにセグメンテーションを明確に求めている。また、チームはソリューション管理の全体的な複雑さを評価し、一元管理による統合型アプローチまたはプラットフォームアプローチを検討する必要もある。

  • OTをセキュリティオペレーション(SecOps)とインシデントレスポンス計画に統合
    組織におけるIT/OTのSecOpsは成熟の途上にあり、SecOpsやインシデントレスポンス計画においてはOTに固有の留意点はOT/ITの環境にはそれぞれ固有のデバイスタイプが存在し、OT侵害がクリティカルなオペレーションに与える影響が広範であること。OT環境を自社のプレイブックに組み込みITチーム、OTチーム、製造チームのコラボレーションが推進され、サイバーリスクと生産リスクを正しく評価できるようになる。また、CISOがそれらのリスクを正しく認識して優先度を判断し、予算や人員を配分できるようになる。

  • プラットフォームアプローチをセキュリティアーキテクチャ全体に採用することを検討
    急速に進化するOTの脅威と拡大する攻撃対象領域に対処するため、多くの組織が異なるベンダーの多様なセキュリティソリューションを導入している結果として、セキュリティアーキテクチャが複雑化し、可視性が阻害され、セキュリティチームが負担を強いられる。プラットフォームベースのセキュリティアプローチは、ベンダーの統合とアーキテクチャの簡素化に役立ち、ITネットワークとOT環境の両方に特化した機能を備えた堅牢なセキュリティプラットフォームは、ソリューションの統合を可能にすることでセキュリティ効果を向上させ、一元管理を可能にすることで管理の効率化を実現。統合により、脅威に対する自動レスポンスの基盤も提供される。

  • OTに特化した脅威インテリジェンスとセキュリティサービスを導入
    OTセキュリティは、差し迫ったリスクのタイムリーな認識と正確な分析に基づくインテリジェンスが不可欠となる。プラットフォームベースのセキュリティアーキテクチャは、脅威インテリジェンスを適用することで、最新の脅威、攻撃タイプ、リスクからのほぼリアルタイムの保護を可能にするものでなければならない。脅威インテリジェンスとコンテンツのソースのフィードやサービスに強固でOTに特化した情報が含まれていることを確認する必要がある。