OTシステムは依然サイバー攻撃の標的にフォーティネットが最新調査

2025年09月10日 17時00分更新

文●フォーティネットジャパン　編集●ASCII

提供: フォーティネットジャパン

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネットの「2025年OTサイバーセキュリティに関する現状レポート」の主な調査結果」を再編集したものです。

　ITとOTの間の「エアギャップ」が縮小しています。オペレーショナルテクノロジー（OT）は、かつては孤立したシステムでしたが、今や企業のIT環境と緊密に相互接続しています。こうした産業システムは、近代化が進む中で、脅威アクターに対してますます脆弱になりつつあります。このような状況を受けて、経営幹部、規制当局、そして攻撃者もOTサイバーセキュリティに注目しています。

　フォーティネットの「2025年OTサイバーセキュリティに関する現状レポート」は、今日のOTネットワークが直面するリスクの増大に企業がどのように対処しているかを詳細に検証しています。本レポートは、製造、エネルギー、運輸などの重要セクターに属するOTプロフェッショナル550人以上を対象に実施した世界規模の調査に基づき、OTセキュリティの進展、OTチームが直面する課題、OT環境の未来を形作る優先事項などの現状を捉えています。7年目となる今回のレポートでは、過去4年間のトレンドに基づいて、OTサイバーセキュリティの新たな動向を明らかにしています。

　主な調査結果には、OTセキュリティの成熟度は向上しているものの、脅威の複雑化と「対策を講じない」ことによる影響が深刻化していることが示されています。また、サイバーセキュリティソリューションへの投資、ベンダーの集約、ベストプラクティスの導入を進めている組織では、侵入の減少や迅速なリカバリが見られますが、その一方で重大なリスクも残っています。

　今年の調査レポートから、CISOやOTリーダーが知っておくべきインサイトを以下にご紹介します。

OTサイバーセキュリティの責任がCレベル幹部へと移行している

　進展を示す明確な傾向として、OTサイバーセキュリティの責任が経営幹部へと移行している点が挙げられます。2025年には、過半数（52%）の組織が、CISOまたはCSOがOTセキュリティの直接の責任を担っていると回答しています。これは、2022年のわずか16%から大きな上昇です。この傾向はさらに加速しており、OTセキュリティを、のVPレベル以下（統括本部長 / 事業部長等の上級管理職など）の役職が担当していると報告した割合が、2022年には59%であったのに対して、2025年にはわずか5%となりました。つまり、調査対象となった組織の95%以上で、Cレベル幹部がOTセキュリティの責任を担うようになっているのです。OTサイバーセキュリティの責任をCISOにまだ集約していない組織の80%も、今後1年以内にCISOに移行することを計画しています。

　こうした集約は、報告ラインの変更といった形式的な対応ではありません。統合された企業全体の戦略の一環として産業サイバーセキュリティに取り組む必要があるという、より広範な理解を反映しています。脅威がITとOTの両システムを同時に狙うようになっているため、個別のセキュリティモデルはもはや通用しなくなっています。

OTの成熟が進み、違いを生んでいる

　今年のレポートでは、81%の組織がOTサイバーセキュリティの成熟度を5段階評価（レベル0～4）でレベル3またはレベル4と自己評価しています。レベル4は、文書化されたセキュリティガイドライン、脅威インテリジェンス、継続的なフィードバックループを特徴とする継続的な改善状態を表しています。

このような成熟度の高まりは、具体的な結果を生み出します。レベル4の組織の65%は、過去1年間に侵入がゼロであったと報告しています。一方、レベル0〜2の組織では、この割合が46%にとどまっています。このデータは、成熟度を高めることによって、インシデント発生率を低下させ、複雑化し進化する脅威への備えを強化できるという関係性を明確に示しています。

フィッシング、ランサムウェア、OT特有の脅威が続いている

　成熟度は向上しているものの、OTシステムは依然として魅力的なターゲットとなっています。最新の調査結果となる今回のレポートによると、依然として50%の組織が1件以上のサイバーセキュリティインシデントを報告しています。また、攻撃者はフィッシングやマルウェアを使って業務上の脆弱性を悪用し続けており、AIを活用した手口の使用も増加しています。

　ランサムウェアは依然として最も根強い脅威の1つです。金銭的な動機に基づくサイバー犯罪者も、国家寄りの脅威アクターも、生産の遅れを回避したいという企業側の弱みに付け込み、迅速に利益を得ています。フォーティネットの「2025年フォーティネットグローバル脅威レポート」によると、標的型攻撃の17%は製造業を対象としており、どのセクターよりも多くなっています。

ベンダーの集約によってリスクと複雑さが軽減される

　セキュリティの成熟度は、プロセスだけでなくアーキテクチャにも関係します。また、さらに多くのOTチームがサイバーセキュリティベンダーの数を減らしています。2025年には、利用するOTベンダーが4社以下の組織が78%に達し、戦略的な集約が行われていることが明確に示されています。

　この合理化は成果を上げています。プラットフォームベースのセキュリティモデルを採用している組織は、可視性の強化、トリアージの迅速化、インシデントの大幅な減少を報告しています。IT / OT環境全体で統合セキュリティソリューションを導入しているフォーティネットのお客様は、サイバーインシデントの発生を93%削減し、レスポンス時間を7倍改善したことを報告しています。

可視性は向上しているが、死角に対する認識も高まっている

　興味深いことに、組織が成熟するにつれて、OTシステム全体の可視化を完全に実現しているという自信はむしろ低下しています。これは、資産インベントリのギャップやセグメンテーションの境界について、現実的な理解が深まった結果かもしれません。可視化ツールの改善に伴って、これまで見落としていた領域を特定しやすくなります。

　こうした認識の高まりは、リスク軽減に向けた重要な一歩です。死角には、レガシーの資産、管理されていないデバイス、攻撃者の侵入口を作り出す構成の不備が隠されている可能性があります。パッシブディスカバリ、アクティブスキャン、一元化された資産インテリジェンスを組み合わせたソリューションを導入することで、OT環境の全体像を把握できます。フォーティネットの統合的なアプローチは、こうしたギャップを埋めるのに役立ち、動的で分散した産業ネットワーク全体で一貫した可視性を実現します。

ベストプラクティスは真の効果をもたらす

　サイバーセキュリティのベストプラクティスを導入している組織では、インシデントの発生件数が減少し、業務の中断も少なくなっています。最も効果を上げているのは、以下のような戦略です。

・OTネットワークをセグメント化して防御可能なゾーンを作り、ラテラルムーブメントを阻止する
・OTに特化した脅威インテリジェンスを適用し、産業機器を標的とした悪意ある活動をブロックする
・補完的な保護策と仮想パッチを使用して、パッチ未適用またはアップグレード不可能なOTデバイスと老朽化したインフラストラクチャを保護する
・OTをSecOpsおよびインシデントレスポンス計画に統合し、企業セキュリティとの整合性を確保する
・ベンダーの集約、業務の合理化、セキュリティ環境間の連携強化のために、プラットフォームベースのアプローチを検討する

　定期的な監査、経営幹部への報告体制の改善、侵入テストなどの先進的な取り組みも一般的になりつつあります。

進展が見られるが、さらなる取り組みが求められる

　侵入が減少し、成熟度が上昇し、OTが企業サイバーセキュリティ戦略の中核的要素として認識されるようになっています。組織はセグメンテーション、可視性、ポリシーの適用に向けて実質的に歩みを進めています。しかし、取り組みはまだ道半ばです。多くのOT環境は依然として老朽化したインフラストラクチャに依存しています。産業制御システム（ICS）の多くは10年以上前のもので、直接的なパッチやファームウェアの更新を受けられないことが少なくありません。セクター全体で近代化が進んでいるとはいえ、これらのレガシーシステムを保護するには、補完的な保護策と仮想パッチ適用が引き続き重大事項となっています。

　同時に、脅威アクターも進化を遂げています。AIを活用した攻撃手法、RaaS（Ransomware-as-a-Service）の規模拡大、地政学的緊張の高まりによって、特にOTを標的とした攻撃が増加し、高度化しています。こうした傾向は、リアルタイムの脅威インテリジェンス、一元的なセキュリティオペレーション、継続的な監視を統合したプロアクティブなセキュリティ戦略の重要性を浮き彫りにしています。フォーティネットのプラットフォームベースのアプローチは、複雑性を管理し、運用の継続性を維持しながら、新たな脅威の一歩先を行くために必要なツールをOTチームに提供します。