サイバーセキュリティの侵入を受けなかった組織の数が前年比で大幅に改善しました(2022年の6%から2023年の25%へ)が、改善の余地が引き続き大きいことに変わりありません。事実、OT組織の4分の3が昨年に少なくとも1件の侵入があったと回答しました。今回も最も回答が多かったインシデントは、マルウェア(56%)とフィッシング(49%)による侵入で、回答者の3分の1近くが昨年ランサムウェア攻撃の被害を受けたと回答しました(32%で、2022年から変化なし)。
- サイバーセキュリティの実務担当者は、自社のOTセキュリティ成熟度を過大評価していた:
2023年に自社のOTセキュリティ態勢の成熟度を「高い」と評価した回答者が前年の21%から13%に減少しました。これは、OTプロフェッショナルの意識が向上し、自社のサイバーセキュリティ能力を自己評価するツールの有効性が向上したことを示唆しています。回答者のほぼ3分の1(32%)が、ITとOTの両方のシステムがサイバー攻撃の影響を受けたと回答しており、昨年のわずか21%から増加しました。
- コネクテッドデバイスの爆発的な増加で、OT組織にとっての複雑さの課題が浮き彫りになった:
回答者の80%近くが、自社のOT環境に100台以上のIP対応OTデバイスがあると回答しており、拡大し続ける脅威からの保護がセキュリティチームにとっていかに喫緊な課題であるかを示しています。調査結果から、サイバーセキュリティソリューションは、特に効率性(67%)と柔軟性(68%)が向上し、大半(76%)のOTプロフェッショナルの業務遂行に継続的に貢献していることがわかりました。しかしながら、ソリューションのスプロール化によって、IT / OTが統合された環境下で一貫性あるポリシーを導入、展開、適用することがこれまで以上に困難になっていることもわかりました。また、この問題はシステムの老朽化によってさらに深刻化しており、半数以上の組織(74%)が、自社のICSシステムの平均経過年数が6~10年であると回答しました。
- OTセキュリティの責任をCISOが負うようになっている:
サイバーセキュリティのスキル不足の深刻化に伴い、ほぼすべての組織で有能なセキュリティ実務担当者の確保が困難になっており、今回の調査では、OT組織がサイバーセキュリティを常に優先事項と考えていることを示唆しています。その1つの指標として、ほぼすべての組織(95%)が、オペレーション担当のエグゼクティブやチームではなく、最高情報セキュリティ責任者(CISO)が、OTサイバーセキュリティの責任を負うようにすることを計画しています。また、OTサイバーセキュリティのプロフェッショナルの前職が、プロダクト管理ではなく、ITセキュリティのリーダーである場合が多く、サイバーセキュリティの意思決定への影響力が、オペレーションから他のリーダー、特にCISO / CSOに移行していることもわかりました。
ベストプラクティス
フォーティネットの「2023年 OTサイバーセキュリティに関する現状レポート」は、組織によるセキュリティ態勢の強化を可能にするいくつかの方法を提言しています。以下のベストプラクティスを採用することで、OTセキュリティの課題解決に貢献します。
- ベンダーとOTサイバーセキュリティプラットフォームの戦略を策定する:
統合により、複雑さが軽減され、迅速に成果を達成できるようになります。最初のステップとして、統合と自動化を前提に製品を設計しているベンダーを選択し、時間をかけてプラットフォームを構築するステップを開始することで、IT / OTのコンバージェンスが進む環境においても、一貫性ある方法でポリシーを導入し、適用できるようになります。資産のインベントリやセグメンテーションといった基本的なソリューションから、OT SOC(セキュリティオペレーションセンター)などの高度なソリューションやIT / OTの両方のSOCをサポートする機能などの幅広いソリューションポートフォリオを提供するベンダーを選択します。
- NAC(ネットワークアクセス制御)テクノロジーを導入する:
ICS / SCADA、さらにはIoTやBYODをはじめとするエンドポイントのセキュリティ保護という課題を解決するには、セキュリティアーキテクチャ全体に、高度な機能を備えたネットワークアクセス制御を組み込む必要があります。効果的なNACソリューションは、組織のインフラの他の部分との接続や通信を開始しようとする新しいデバイスを管理することで、組織のネットワークの完全な制御にも役立ちます。
資産のインベントリとセグメンテーションの基本ステップを実装し、重要な資産にアクセスしようとするすべてのユーザー、アプリケーション、デバイスを不断に検証します。
- サイバーセキュリティ意識向上の教育やトレーニングを実施する:
サイバー犯罪者との戦いには、全従業員が知識と意識を向上させ、組織全体でデータを保護する必要があるため、サイバーセキュリティトレーニングが今後も重要であることに変わりありません。組織は、コンピュータやモバイルデバイスを使用するテレワーカーからその家族までの全員を対象に技術的ではないトレーニングの実施を検討する必要があります。
オープンAPIと堅牢なファブリック レディ テクノロジーアライアンスのエコシステムによるプラットフォームアプローチは、OT対応の機能によるOT環境の保護を前提に設計されているため、CISOやセキュリティチームは複雑さを軽減し、ランサムウェアの防止と検知の有効性を高め、インシデントのトリアージ、調査、レスポンスを加速できます。
IT、OT、製造の各部門が連携し、サイバーリスクと生産リスク、特にランサムウェアインシデントを正しく評価してCISOに知らせることで、適切な認識、優先順位付け、予算、人材の割り当てを確実にすることができます。
フォーティネットのプロダクト担当エグゼクティブバイスプレジデント兼CMO、John Maddison(ジョン・マディソン)は次のように述べています。
「フォーティネットの『2023年 OTサイバーセキュリティに関する現状レポート』で、OT組織では自社のサイバーセキュリティ態勢が改善したものの、引き続き改善の余地があることもわかりました。ネットワークとITのチームは、OTを導入して対応するという多大なプレッシャーにさらされており、組織は、IT / OT環境全体にセキュリティを実装し、セキュリティリスク全体を低減するソリューションを探して採用する方向に移行しています」
レポートの概要:
- フォーティネットの「2023年OTサイバーセキュリティに関する現状レポート」は、定評ある第三者調査会社が570人のOTプロフェッショナルを対象に実施したグローバルの詳細な調査データに基づく年次調査結果です。
- 調査の回答者は、オーストラリア、ニュージーランド、ブラジル、カナダ、エジプト、フランス、ドイツ、インド、日本、メキシコ、南アフリカ、英国、米国を始めとする世界中の異なる場所から抽出されました。
- 回答者は、製造、運輸/物流、医療/製薬、石油/ガス/精製、エネルギー/公益事業、化学/石油化学、上下水道などのOTのヘビーユーザーである業種に勤務しています。
- 調査対象者のほとんどが、役職に相違はあるものの、サイバーセキュリティ購入の意思決定に深く関与しています。そして、このような方たちがOT購入の意思決定で最終的な決定権を持つようになっています。今年の調査で、回答者の91%が、自社のサイバーセキュリティ購入の意思決定に定期的に関与していることがわかりました。
■日本語版追記
なお、本調査に関連し、フォーティネットジャパンでは、9/6(水)~9/8(金)の3日間、多彩なゲストをお招きし「安心・安全なサイバー空間:OTセキュリティWhyからHowへ」をテーマに「Fortinet Secure OT Summit 2023」を開催、LIVE配信します(参加費無料 要事前登録)。ゲスト講演者を含め全プログラムの詳細とタイムテーブルはこちらよりご参照ください。
https://secure-ot-summit.com/program.php?_fsi=nAUbHOfJ&_fsi=nAUbHOfJ&_ebx=19mgaiv3ol9.1671518046.7s4zied
Fortinet Secure OT Summit 2023:
https://secure-ot-summit.com/index.php?_fsi=nAUbHOfJ&_fsi=nAUbHOfJ&_ebx=19mgaiv3ol9.1671518046.7s4zi7a
関連資料
・ブログ「第5回年次調査『「2023年OTサイバーセキュリティに関する現状レポート』の要点」では、本年のレポートで紹介している重要なヒントを解説しています。
https://www.fortinet.com/jp/blog/ciso-collective/fortinet-state-of-ot-cybersecurity-annual-report-takeaways
・年次推移のご参考用には、昨年の同調査のプレスリリースも併せてご参照ください。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2022/fortinet-global-survey-uncovers-critical-ot-security-challenges
・フォーティネットセキュリティファブリックが提供するエンドツーエンドのセキュリティであらゆる規模の組織のあらゆる侵入口でランサムウェアを阻止する方法をご確認ください。
https://www.fortinet.com/jp/solutions/enterprise-midsize-business/security-fabric
・サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの無料のサイバーセキュリティトレーニングの詳細をご覧ください。
https://www.fortinet.com/training/cybersecurity-professionals
Fortinet Training Instituteは、フォーティネットTraining Advancement Agenda(TAA)の一環として、認定ネットワークセキュリティエキスパート(NSE)プログラム、Academic Partner Program、Education Outreach Programも提供しています。
NSEプログラム:https://www.fortinet.com/jp/training-certification
Academic PartnerProgram:https://www.fortinet.com/training/academic-partner-program
Education Outreach Program:https://www.fortinet.com/training/education-outreach-program
・FortiGuard Labsの脅威インテリジェンスとリサーチや最新のサイバーセキュリティ攻撃を減災する方法をタイムリーにお知らせするアウトブレイクアラートの詳細をご覧ください。
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs
アウトブレイクアラート:https://www.fortinet.com/jp/fortiguard/outbreak-alert
・フォーティネットのFortiGuardセキュリティサービスポートフォリオの詳細をご覧ください。
https://www.fortinet.com/jp/solutions/enterprise-midsize-business/security-as-a-service/fortiguard-subscriptions
・フォーティネットのお客様による組織の保護の事例を紹介しています。
https://www.fortinet.com/jp/customers
・フォーティネットのTwitter、LinkedIn、Facebook、Instagramをフォローし、フォーティネットのブログまたはYouTubeチャネルに登録してください。
##
※本プレスリリースは、米Fortinet, Inc.が2023年5月24日(現地時間)に発表したプレスリリースの抄訳です。
原文:https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2023/fortinet-global-report-finds-75-percent-ot-organizations-experienced-intrusion-last-year
※この日本語版はフォーティネットのニュースルームでもご覧いただけます。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2023/fortinet-global-report-finds-75-percent-ot-organizations-experienced-intrusion-last-year
フォーティネットについて
フォーティネット(NASDAQ: FTNT)は、ネットワーク / セキュリティの融合とサイバーセキュリティの進化を、牽引し続けている企業です。あらゆる場所で、人・デバイス・データの安全を確保するというミッションのもと、お客様が必要とするすべての場所にサイバーセキュリティを提供しています。エンタープライズでの利用に対応した50を超える製品群で構成される業界最大規模の統合ポートフォリオを実現し、業界最多の導入実績、特許数、認証数に支えられ、50万を超えるお客様からの信頼を獲得しています。脅威分析とセキュリティ研究を行う組織「FortiGuard Labs」を運営し、自社開発した最先端の機械学習やAIテクノロジーを活用することで、タイムリーかつ一貫したトップクラスの保護と共に、実用的な脅威インテリジェンスをお客様に提供しています。また、「Fortinet Training Institute」では、誰もがサイバーセキュリティのトレーニングと新たなキャリアの機会を得られるよう、業界最大規模かつ最も広範なトレーニングプログラムを提供しています。詳しくは当社ホームページ、フォーティネットブログ、FortiGuard Labsホームページをご参照ください。
フォーティネットブログ:https://www.fortinet.com/jp/blog
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs
Copyright© 2023 Fortinet, Inc. All rights reserved.「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAIOps、FortiAntenna、FortiAP、FortiAPCam、FortiAuthenticator、FortiCache、FortiCall、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCentral、FortiConnect、FortiController、FortiConverter、FortiCWP、FortiDB、FortiDDoS、FortiDeceptor、FortiDeploy、FortiDevSec、FortiEdge、FortiEDR、FortiExplorer、FortiExtender、FortiFirewall、FortiFone、FortiGSLB、FortiHypervisor、FortiInsight、FortiIsolator、FortiLAN、FortiLink、FortiMoM、FortiMonitor、FortiNAC、FortiNDR、FortiPenTest、FortiPhish、FortiPlanner、FortiPolicy、FortiPortal、FortiPresence、FortiProxy、FortiRecon、FortiRecorder、FortiSASE、FortiSDNConnector、FortiSIEM、FortiSMS、FortiSOAR、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLM、FortiXDRなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。