IDC Japanは2020年4月1日、IIoT(Industrial Internet of Things)/OT(Operational Technology)システムのセキュリティ対策に関する実態調査結果を発表した。調査は2020年1月に国内企業360社を対象に実施した。
調査の結果、IIoT/OTセキュリティ被害状況に関して「加工組立製造」「プロセス製造」などの製造業では、「事件/事故が発生したことがある」と「事件/事故にはならなかったが危険を感じたことがある」の合計が30%を超える結果となった。
工場やシステムの破壊/破損/故障、生産/製造ラインの停止、制御データやパラメーターの改竄など、IIoT/OTシステムに関わるシステム特有のセキュリティ事件/事故(危険を感じたことがあるを含む)を経験した企業は、全体で34.4%。さらに「外部ネットワーク接続部分」での事件/事故が最も多いことから、IIoT/OTシステムがネットワークにつながることによってサイバー攻撃のリスクが高まっているとIDCは見ている。
セキュリティの導入課題また、IIoT/OTセキュリティ対策状況については49.8%の企業が不十分と認識しつつも、導入/強化を計画していない企業が19%以上あり、セキュリティ導入にあたっては多くの企業が課題を抱えていることが分かった。
課題としては、経営面では「予算の確保」「導入効果の測定が困難」、現場では「専門技術者の人材不足」「運用管理」「ユーザー(現場)教育」「導入作業」と、経営と現場の人材リソースに関わる課題がいずれも20%を超え上位を占める結果だった。
従業員規模が100人以下の企業においては「導入コスト」「運用コスト」を最も重視する傾向が見られ、中規模以上の企業では「ベンダーの信頼性」「ベンダーの技術力」を最も重視する傾向があった。
図表 セキュリティ対策の導入や強化の課題
セキュリティ投資の現状
こうした結果から、IIoT/OTシステムへの積極的なセキュリティ投資はなされていないことが判明した。各企業が抱える課題は多岐にわたっているが、「予算の確保」をおこない、「運用管理」「専門技術者の人材不足」に投資し、負の連鎖を断ち切り、体制強化と業務効率化を進めていくことが改革の第一歩になるとIDCは指摘している。
組織体制については、サイバー攻撃に対処する組織を設置していない企業がいずれの産業分野でも半数超。従業員規模別では、幹部のセキュリティへの関わり方が低い企業は半数を超える結果だった。
セキュリティ対策予算に関しては、従業員規模が大きくなるに従い予算が確保されている企業は増加しており、幹部の関わり深度と予算の確保に相関が見られた。
IIoT/OTシステム投資額に対するセキュリティ関連投資の割合は6割以上の企業が「10%未満」。2019年度と比較した2020年度の増減見込み率は「増減なし」が52.2%。減少見込みの企業が13.1%と増加見込み企業よりも2.0%多く、企業がIIoT/OTシステムのセキュリティ投資に積極的であるとはいえない状況といえる。
IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 赤間健一氏は、「システムの安定稼働を最優先としながら、ビジネスに直結したシステムのセキュリティを確保するには課題を可視化し経営幹部が理解し、セキュリティへの関与を深めることがIIoT/OTセキュリティ対策の第一歩である」と分析している。