統合されたITとOT環境に依存する産業組織が直面するリスク(2026年版OTとサイバーセキュリティの現状レポートより)
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「OTセキュリティは成熟しつつあるが、リスクは減速していない」を再編集したものです。
過去数年間で、OTセキュリティは専門的な懸念事項から取締役会レベルのビジネス優先事項へと移行しました。産業組織は現在、生産を維持するために、相互接続されたシステム、リモートアクセス、クラウドベースの分析、統合されたITとOT環境に依存しています。この高度な接続性は効率性と回復力の向上をもたらす一方で、サイバー犯罪者、ランサムウェアグループ、国家主体による攻撃対象領域も拡大させています。
2026年版フォーティネットOTとサイバーセキュリティの現状レポート は、組織がこれらのリスクへの対処においてより慎重になっていることを示しています。700人以上のOT専門家を対象とした世界規模の調査に基づき、このレポートは、OTサイバーセキュリティの成熟度についてより現実的になり、侵入に対してより警戒し、今後の規制要件を満たすことにより専念している市場を浮き彫りにしています。
良いニュースは、多くの組織が進歩を遂げていることです。しかし、課題は成熟度レベルが異なることであり、多くのOT環境では、可視性、セグメンテーション、セキュアリモートアクセス、インシデントレスポンス、標準化されたセキュリティアーキテクチャに関する重大な問題に依然として直面しています。
OTセキュリティの責任は依然としてCスイートレベルの問題
過去数年間におけるOTセキュリティ成熟度の最も明確な兆候の1つは、OTサイバーセキュリティの責任が上級リーダーシップに引き上げられたことです。回答者の60%が、CISOがOTサイバーセキュリティの最終責任を負っていると報告しました。これは2025年の69%から減少していますが、この変化は必ずしも経営幹部の注目の低下を示すものではありません。
レポートが示唆しているのは、一部の組織は、Cスイートが戦略、資金調達、ガバナンスの正式化に関与した後、OTリスクの所有権を他の上級リーダーに移管できるほど十分に成熟したということです。まだ引き上げられていない場合、回答者の81%が今後1年以内にOTサイバーセキュリティをCISOに割り当てる予定であり、これは2025年の80%から増加しています。
結論は明確です: OTリスクは、もはや工場運営やエンジニアリングチームだけの責任ではありません。代わりに、セキュリティ、運用、リスク管理、準拠規格、経営幹部のリーダーシップを含む協調的な管理が求められています。
成熟度評価がより現実的になっている
2026年版レポートは、組織がOTサイバーセキュリティの成熟度を評価する方法における大きな変化を明らかにしています。過去数年間、回答者は自社のプログラムをより高く評価することが頻繁にありました。しかし、ITとOTチームが追加の資金を獲得し、より多くのツールを実装し、可視性を向上させるにつれて、多くの組織は現在、防御がまだ改善を必要としている箇所をよりよく理解しています。
この変化はデータに反映されています。組織化されていない、または文書化されていないサイバーセキュリティプロセスを示すレベル0の回答者は、2025年の1%から2026年には5%に増加しました。レベル1は5%から17%に増加し、レベル2は13%から27%に上昇しました。逆に、最も高度なサイバーセキュリティプログラムを示すレベル4は、49%から17%へと大幅に減少しました。
当初、これは後退のように見えるかもしれませんが、修正として理解する方が適切です。チームがより多くの経験を積み、より優れたツールにアクセスし、ITとOTセキュリティ間のより多様なコラボレーションを促進するにつれて、以前は隠れていたギャップが明らかになります。多くの組織にとって、成熟度はリスクのより正直な評価から始まります。
同じパターンがOTセキュリティソリューションの成熟度にも現れています。レベル4は19%から14%に減少し、レベル0と1は増加しました。これは共通の課題を浮き彫りにしています:多くの組織は、資産の可視性、ネットワークセグメンテーション、セキュアリモートアクセス、監視、対応など、OTセキュリティの基礎をまだ確立している段階です。
侵入がより頻繁に検知されるようになっている
本レポートは、侵入報告における大きな変化も強調している。複数の侵入を報告した回答者の割合が増加し、1件から9件の侵入を報告した回答者は71%に達し、前年の47%から上昇した。一方、10件以上の侵入を報告した組織の割合は2%で一定のままであった。
これは必ずしも、すべての組織がより頻繁な攻撃を受けていることを意味するものではない。むしろ、より多くの組織が自社の環境内で発生していることをより認識するようになったことを示している可能性が高い。OTセキュリティにおいて、「侵入が検知されていない」という表現は、可視性が限られている場合には誤解を招く可能性がある。検知能力の向上は、最終的にリスクを低減させるものの、当初は報告されるインシデント数の増加をもたらすことが多い。
本レポートは、心強い兆候も示している。ITシステムとOTシステムの両方で侵入が発生したと回答した回答者はわずか24%で、2025年の60%から大幅に減少し、2022年以降で最低となった。これは、IT環境とOT環境の間のセグメンテーションが改善され、攻撃の拡散を制限するのに役立っていることを示している可能性が高い。
それでも、脅威動向は依然として深刻である。フィッシングは依然として最も報告されている侵入で76%を占め、ランサムウェアは50%で依然として大きな懸念事項となっている。ランサムウェアは2025年の54%からわずかに減少したものの、生産、安全性、収益、重要インフラストラクチャへの潜在的な影響により、OTリスク計画において中心的な焦点であり続けている。
滞留時間は依然として警告サインである
攻撃者の滞留時間は、侵入者が検知されずにいる期間を示すため、サイバーセキュリティにおいて極めて重要である。攻撃者がシステム内に長期間存在することで、監視の実施、知的財産の窃取、ランサムウェア攻撃の計画、業務の妨害、または将来の行動の準備を行う能力が高まる。
2026年のレポートは、一部の短期滞留時間カテゴリーは安定しているものの、数週間または数か月にわたる長期滞留時間が増加していることを示している。これはOT環境にとって特に懸念される。産業システムには、レガシーデバイス、特殊なプロトコル、稼働時間要件が含まれることが多く、一般的なIT環境と比較して迅速な対応を複雑にする可能性がある。
滞留時間の短縮には、単純な監視以上のものが必要である。組織は、OTを考慮した可視性、脅威インテリジェンス、ネットワークセグメンテーション、セキュアリモートアクセス、および運用への影響、安全性、生産と重要インフラストラクチャの継続性を考慮したインシデントレスポンス計画を持つ必要がある。
規制圧力が加速している
OTリーダーは、より厳しい規制環境を予想している。回答者の89%が5年以内に規制の強化を予想しており、2025年の66%から大幅に増加している。本レポートはまた、5年以上先ではなく、2年から5年以内に新しい規制を予想する回答者が20ポイント増加したことを強調している。
これは重要である。なぜなら、OTサイバーセキュリティは、重要インフラストラクチャ、インシデント報告、データセキュリティ、公共の安全、事業継続性とますます結びついているからである。規制要件はもはや将来の検討事項ではない。それらは即座の運用上の現実である。
最終的な義務が発行されるまで行動を遅らせる組織は、遅れをとるリスクがある。今すぐ開始する組織は、準拠規格への取り組みを活用して、ネットワークの回復力を強化し、報告を改善し、リスクを低減し、セキュリティオペレーションを近代化することができる。
可視性は向上しているが、ギャップは残っている
可視性は、OTセキュリティの基盤であり続けている。資産、通信フロー、ユーザー、アプリケーション、依存関係を明確に理解していなければ、組織はネットワークを効果的にセグメント化したり、異常な活動を特定したり、対応の優先順位を確立したりすることができない。
2026年のレポートは進展を示しており、OTシステムへの完全な可視性を持つ回答者の割合は、2025年の5%から2026年には14%に増加した。これは大きな改善を表している。
しかし、本レポートはまた、多くの組織が依然として完全な可視性を欠いていることも明らかにしている。回答者の約23%は、OT環境の約半分にしか可視性を持っていない。これは、多くのセキュリティチームが完全な洞察なしに環境を防御していることを意味します。
近代化がOT環境を変えている
このレポートは、組織が産業用制御システムを更新していることを示しています。回答者の40%が、自社のICSシステムは5年未満であると報告しており、2025年の20%から増加しています。これは、信頼性、パフォーマンス、セキュリティの向上を目的とした近代化の傾向を反映しています。
近代化はリスクの軽減に役立ちますが、慎重な管理が必要です。新しいシステムは、接続性、データ転送、リモートアクセス、ITおよびクラウドプラットフォームとの統合を増加させることがよくあります。その結果、セキュリティは後から追加するのではなく、最初から近代化戦略に統合する必要があります。
レガシーシステムをまだ実行している組織にとって、このレポートは、厳格なパッチ適用の規律、補償制御、継続的な監視、およびセグメンテーションの必要性を強調しています。
コスト圧力がセキュリティの意思決定を形成している
最後に、このレポートは、組織がサイバーセキュリティの成功を評価する方法の変化を強調しています。2026年までに、コスト削減と回避が追跡および報告される主要な指標になりました。生産性の向上も引き続き重要な焦点です。
これは理解できます。OTリーダーは、セキュリティ投資を正当化するプレッシャーに直面しています。しかし、コスト削減は回復力を損なうべきではありません。OT環境では、不十分な投資はダウンタイム、安全上の危険、準拠規格の問題、収益の損失、物理的な混乱につながる可能性があります。
OTセキュリティの最も強力なビジネスケースは、サイバーリスクを低減するだけではありません。それは運用の継続性を確保することです。
組織がより速く成熟するのに役立つ5つのプラクティス
このレポートは、OTサイバーセキュリティを改善するための実用的な推奨事項で締めくくられています。具体的には次のとおりです。
1. ITおよびOTネットワークをセグメント化およびマイクロセグメント化して、ラテラルムーブメントを最小限に抑え、攻撃の影響を制限する
2. セキュアリモートアクセスを使用して、広範で永続的なアクセス方法に依存することなく、ベンダーやサードパーティをサポートする
3. OTをセキュリティオペレーションおよびインシデントレスポンス計画に統合し、チームが生産と安全の現実を無視することなくサイバーインシデントに対応できるようにする
4. 産業用プロトコル、セクター固有の脅威、OT資産の動作を包含するOT固有の脅威インテリジェンスに投資する
5. 運用を簡素化し、可視性を向上させ、制御を一元化し、より迅速で協調的な対応を促進するために、プラットフォームアプローチを検討する
これらのプラクティスはすべて、同じ包括的な原則を指しています。OTサイバーセキュリティは、スタンドアロンツールや孤立したチームでは解決できません。その代わりに、ITとOTの両方の環境において、人、プロセス、テクノロジーを統合する統一的なアプローチが求められます。
結論
2026年版OTとサイバーセキュリティの現状レポートは、移行期にある市場を浮き彫りにしています。OTセキュリティが成熟するにつれて、脅威動向もより複雑になっています。ランサムウェア、フィッシング、滞留時間の長期化、可視性の制限、断片化されたセキュリティアーキテクチャなどの問題が、引き続き重大な課題となっています。幸いなことに、組織は可視性を急速に向上させ、成熟度をより正直に再評価し、規制に備え、より高度なセキュリティ機能に投資しています。
完全版レポートを入手して、調査結果を確認し、組織のOTセキュリティ成熟度を評価し、今日ますます相互接続が進む産業環境全体でリスクを軽減するのに役立つ実践方法を発見してください。
完全版レポートをダウンロード。
本記事はアフィリエイトプログラムによる収益を得ている場合があります