IDC Japanは2021年4月27日、「2021年 国内IoT/OTセキュリティユーザー調査」の説明会を開催した。

IDCでは今年2月、IoT/IIoT、産業用制御システムなどOTシステムのセキュリティ投資や対策の導入状況、インシデント被害状況やセキュリティ対策の課題など、国内企業のセキュリティの実態について調査・分析を行った。

それによると、過去1年間、OT分野のシステムにおいてセキュリティ上の事件／事故を経験した企業は、「事件／事故には至らなかったが危険（脅威）を感じたことがある」も含めると36.4％。前年度から2.0ポイント増加したが、調査結果と傾向に大きな変化は見られず、常態化していることが分かる。

OTシステムへのインシデントは常態化している

事件／事故を経験した企業を産業分野別に見ると、「銀行、保険、証券」が最も多く16.1％、以下「公共／交易、資源」が14.3％、「流通（小売、卸売）」が13.5％となっている。

従業員規模別では、規模が大きくなるほど「事件／事故が発生したことがある」「危険を感じたことがある」との回答が増えており、従業員3001人以上の企業では54.6％にのぼった。

この点について、IDC Japan ソフトウェア＆セキュリティ リサーチマネージャーの赤間健一氏は「大企業ほどきちんとしたセキュリティ対策を採っているため、インシデントを検知したり危険を感じるケースが多いのではないか」と指摘した。

経験した事件／事故については、「生産／製造ラインやシステムの一時停止（一部停止）が最も多く25.5％。マルウェアの感染（24.8％）、「情報データの漏えい（外部犯行）」（23.0％）と続く。「工場やシステムの破壊／破損／故障」（18.6％）、「生産／製造ラインやシステムの完全停止」（18.0％）といった大規模な被害を経験した企業もそれぞれ20％近くにのぼった。

事件／事故の発生場所は「外部ネットワーク接続部分」（40.4％）、「社内ネットワーク内」（38.5％）、「産業用制御システム等のOTネットワーク内」（13.0％）など、ネットワークに関わる場所が上位を占めた。

ネットワークに関わる場所が狙われている