フォーティネットの2025年版「OTサイバーセキュリティ」レポートより
OTシステムを狙うサイバー攻撃、いまだ半数の企業が経験 OTリーダーが知るべき7つのトレンド
フォーティネットは、2025年の「OTサイバーセキュリティに関する現状レポート」日本語版を公開している。本レポートの発行は7年目。製造やエネルギー、運輸などの業界に従事するOTプロフェッショナル550人以上を対象に実施した調査から、OTセキュリティの動向をまとめている。
調査レポートから、CISOやOTリーダー向けの7つのインサイトを紹介する。
インサイト1:OTセキュリティの責任がCレベルの幹部に
調査では、過半数(52%)の組織が、CISOまたはCSOがOTセキュリティの直接の責任を担っていると回答しており、2022年調査の16%から大きく上昇している。
OTセキュリティの責任をCISOに集約していない組織の80%も、今後1年以内にCISOに移行予定であり、企業戦略の一環として産業サイバーセキュリティに向き合うという企業の姿勢が現れている。
インサイト2:OTセキュリティの成熟が進み、成果を発揮している
OTセキュリティの成熟度を5段階(レベル0~4)で自己評価した結果、81%の組織が「レベル3」または「レベル4」としている。レベル4は、セキュリティガイドラインの文書化、脅威インテリジェンスの活用、継続的なフィードバックループによる継続的な改善などを推進できている状態にあたる。
また、「過去1年間に脅威の侵入がゼロだった」と回答した組織は、レベル4の組織では65%に達するが、レベル0~2の組織では46%にまで低下する。この結果は、OTセキュリティの成熟度を高めることは、インシデント発生率を低下させ、複雑化する脅威への備えを強化できることを示している。
インサイト3:フィッシングやランサムウェアの脅威にさらされるOTシステム
OTセキュリティの成熟度は向上しているものの、OTシステムは攻撃者にとって依然として魅力的なターゲットである。レポートでは、「1件以上のセキュリティインシデントを経験した」という組織が、50%に及んでいる。攻撃者はフィッシングやマルウェアで脆弱性を悪用し続け、直近ではAIを活用した攻撃も増加している。
ランサムウェアも根強い脅威であり続けている。フォーティネットによる最新の「グローバル脅威レポート」では、標的型攻撃の17%が製造業を対象としており、業界別では最も多くなっている。
インサイト4:ベンダーの集約によりリスクと複雑さが軽減
多くのOTチームが、採用するセキュリティベンダーの数を減らしている。採用するベンダー数が「4社以下」という組織は78%に達しており、戦略的にセキュリティの集約を進めている状況だ。実際に、プラットフォームベースのセキュリティモデルを導入する組織は、可視性の強化やトリアージの迅速化、インシデントの大幅な減少などを実現しているという。
インサイト5:可視性とあわせて“死角への認識”も高まる
OTセキュリティが成熟するにつれ、OTシステム全体の完全な可視化に対する組織の自信が、むしろ低下しているという結果も得られている。フォーティネットでは、資産インベントリのギャップやセグメンテーションの境界について、現実的な理解が深まった結果だと分析する。可視化ツールの改善によって、レガシー資産や管理されていないデバイス、攻撃者の侵入口を作り出す構成の不備などの死角が特定しやすくなるという。
インサイト6:ベストプラクティスは真の効果をもたらす
セキュリティのベストプラクティスを導入している組織では、インシデントの発生件数が減少しており、業務の中断も少なくなっている。実際に効果を上げている戦略として以下が挙げられた。
・OTネットワークをセグメント化して防御可能なゾーンを作り、ラテラルムーブメントを阻止する
・OTに特化した脅威インテリジェンスを適用し、産業機器を標的とした悪意ある活動をブロックする
・補完的な保護策と仮想パッチを使用して、パッチ未適用またはアップグレード不可能なOTデバイスと老朽化したインフラストラクチャを保護する
・OTをSecOpsおよびインシデントレスポンス計画に統合し、企業セキュリティとの整合性を確保する
・ベンダーの集約、業務の合理化、セキュリティ環境間の連携強化のために、プラットフォームベースのアプローチを検討する
インサイト7:進展が見られるが、さらなる取り組みが求められる
ここまで見てきたように、脅威の侵入は減少し、OTセキュリティの成熟度は向上し、OTがセキュリティ戦略の中核的要素として認識されはじめている。しかし、それもまだ道半ばであり、多くのOT環境は依然として老朽化したインフラストラクチャに依存している。産業制御システム(ICS)の多くは10年以上前のもので、直接的なパッチやファームウェアの更新を受けられないため、引き続き、補完的な保護策と仮想パッチ適用が重大事項だ。
同時に、攻撃者も進化を続けている。AIを活用した攻撃やRaaS(Ransomware-as-a-Service)の規模拡大、地政学的緊張の高まりによって、OTを標的とした攻撃は増加・高度化している状況にある。こうした傾向は、リアルタイムな脅威インテリジェンス、一元的なセキュリティオペレーション、継続的な監視を統合したプロアクティブなセキュリティ戦略の重要性を浮き彫りにしているという。