フォーティネットは9月2日、年次グローバル調査の結果を分析し「2025年OTサイバーセキュリティに関する現状レポート」を発表した。同レポートは、オペレーショナルテクノロジー(OT)のサイバーセキュリティの現状を示すものであり、IT/OTで拡大し続ける脅威に対処するうえで、組織が今後さらに取り組むべき課題を示している。

調査は、毎年フォーティネットの委託により第三者機関が世界規模で実施しているもので、今年で7年目となる。日本を含む31の国と地域のさまざまな業種のOTユーザーのプロフェッショナル上級職550名以上を対象に実施。

OTセキュリティの責任者が経営幹部に移行

調査結果によると、サイバーセキュリティをCISO(最高情報セキュリティ責任者)などの経営幹部の職責に移行することを検討する企業が増加し、説明責任が経営幹部へと移行し続ける中で、OTセキュリティが取締役会レベルで重要な課題として浮上しているという。

現在、OTサイバーセキュリティの意思決定に影響を与える最も重要な社内の責任者は、CISOまたはCSO(最高セキュリティ責任者)である割合が高くなっており、過半数(52%)の組織がOTの責任をCISO/CSOが担っていると回答し、2022年の16%から増加した。

Cレベル幹部全体で見ると割合は95%に急増しているほか、今後1年以内にOTサイバーセキュリティをCISOの管轄下に置くことを計画している組織は、2025年にかけて60%から80%へと増加している。

OTセキュリティの責任者が経営幹部に移行しつつある

OTサイバーセキュリティの成熟度は侵入の影響に関係

また、回答者の自己評価では2025年のOTセキュリティ成熟度は高まっており、基本的なレベル1では26%の組織が可視性の確立とセグメンテーションの実施を報告しており、前年の20%から増加。自社のセキュリティ成熟度については、レベル2(アクセスとプロファイリングが確立されている段階)に位置づけた組織が最も多くなっている。

レポートでは、成熟度と攻撃の間に逆相関が見られることも明らかになり、レベル0～4で相対的に成熟度が高いと自己評価している組織では攻撃が相対的に少なく、フィッシングなどの洗練度の低い手口に効果的に対処している。

ただし、高度な標的型攻撃(APT)やOTマルウェアなどの手口は検知が難しく、成熟度の低い組織では攻撃を検知できるセキュリティソリューションが未導入で、侵害の事実を確認できていない可能性がある点には留意が必要とのこと。全体として、半数近くの組織が影響を受けた一方で、侵入の影響は減少しつつあり、特に収益に影響する運用停止の割合は52%から42%に減少した。

サイバーセキュリティプログラムの成熟度

サイバーセキュリティのベストプラクティス

成熟度が侵入の影響に関係していることに加え、基本的なサイバーセキュリティ対策やトレーニング/啓発などのベストプラクティスの採用が効果を上げていることも示されており、ビジネスメール侵害の大幅な減少を含む具体的な改善が見られているという。

そのほかのベストプラクティスとして、脅威インテリジェンスの活用が2024年から49%急増しているほか、OTデバイスベンダー数が減少しており、業界の成熟と運用効率の向上が示されているとのことだ。

また、OTベンダーを1～4社しか利用していない組織が78%に増加しており、ベストプラクティスの一環としてベンダーを絞り込んでおり、サイバーセキュリティベンダーの集約は成熟の兆候だという。リモートOTサイトでのネットワーキングとセキュリティの統合により、可視性が向上し、サイバーリスクが軽減されることで、フラットネットワークと比較してサイバーインシデントが93%減少している。

OTデバイスに使用されているベンダー

今回の調査は、組織のセキュリティ態勢を強化するための実用的なインサイトを提示しており、以下のベストプラクティスを採用することで、OTセキュリティに関する諸課題に対処できるようになるとしている。