トレンドマイクロは7月11日、「産業向けサイバーセキュリティの実態調査」の結果を発表した。
日本、米国、ドイツの製造、電力、石油・ガスの3業界を対象に「サイバーセキュリティの現状と課題」を調査したもので、調査期間は2022年2月~3月。国別ではそれぞれ300社(計900社)、業界別では製造314社、電力310社、石油・ガス276社の「IT・OT環境でサイバーセキュリティ対策を決める意思決定者」が回答した。
ITとOT(工場やプラントなどの産業制御機器)別のサイバー攻撃の実態と企業のセキュリティ成熟度を調査したのが特徴で、日本のみの調査結果も公開している。調査レポートは全19ページ。
過去12カ月間のサイバー攻撃による供給への影響については、89%が「はい」(影響を受けた)と回答している。日本も90%で、3カ国集計と同レベルである。
サイバー攻撃によるIT/OTシステムの中断は、56%が「4日間以上」を経験している。日本の4日間以上は40%で3カ国集計よりも低いが、石油・ガスが他の業界よりも多い傾向は同じである。
上記の中断による金銭的損害の平均額は、3カ国の平均が280万ドル、日本は230万ドル(約320億円)だった。
また過去12カ月間の中断回数は、「6~10回」が最多で44%、次いで「11~15回」(25%)、「1~5回」(20%)という順である。6回以上の合計は72%となり、約3/4が2カ月に1回以上、サイバー攻撃による中断を経験している。日本は「6~10回」が43%で3カ国集計と同レベルの中断回数で、6回以上を66%が経験している。
サイバー攻撃の種類は、「クラウドサービスの脆弱性を利用したサイバー攻撃」53%、「ソフトウェアサプライチェーン攻撃」53%、「DDoS攻撃」52%、「クラウドサービスの設定間違いを悪用した攻撃」49%がトップ4で、約半数の企業がこれらの攻撃を受けている。
調査レポートは、企業のセキュリティ成熟度をITとOTのそれぞれについて尋ねている。指標は、NIST(米国立標準技術研究所)の「サイバーセキュリティフレームワーク(CSF)」で、CSFの4つの評価基準(ティア1~4)と、5つのコア(特定・防御・検知・対応・復旧)ごとに調査した。
CSFの4つの評価基準は、ティア1=部分的である、ティア2=リスク情報を活用している、ティア3=繰り返し適用可能である、ティア4=適応している、である。
ITに関しては各コアとも「ティア2」が突出し、「ティア1」がこれに続く。OTはすべてのコアで「ティア1」で、ティア1から徐々に減る傾向が見られる。
初期攻撃への対処については、「阻止」が35~43%、「対応が必要になった」は33~46%で、40前後の企業が各種攻撃に対して阻止できなかった実態が浮き彫りにされている。
今後3年間にサイバーセキュリティ対策を強化する理由は、「インシデントの再発を防止するため」がトップ(30%)で、以下、「ビジネスパートナー/クライアント/顧客から サイバーセキュリティ機能強化を要請されるため」(29%)が続く。
調査レポートは、「サイバーセキュリティ体制がその場しのぎのリアクティブな企業」に対して、「インシデントの原因を分析できるシステムを確立する必要がある」とし、「サイバーセキュリティを定期的に見直し更新するプロアクティブな企業」に対しては、「クラウドや5Gをインフラストラクチャに取り入れることを想定しながらサイバーセキュリティ戦略の計画を立てること」を推奨している。
・「産業向けサイバーセキュリティの実態調査」
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220711-01.html
[i Magazine・IS magazine]
