IoT／OTデバイスに対してサイバー攻撃を受けた企業、すでに48.1％も存在

半数近い企業がIoT／OTデバイスにサイバー攻撃を受けていた

「IoT」（Internet of Things：モノのインターネット）は、PCやスマートフォンはもちろん、さまざまなセンサー、家電、小型デバイスにまで通信機能を搭載し、相互にネット接続を行うことで、これまでできなかったようなサービスを実現しようという考えです。

一方「OT」（Operational Technology：運用技術）は、工場や発電所、ダムや観測所といった社会インフラなどを担う、大規模施設の設備やシステムを運用するための技術を指します。これらの技術は、家庭あるいは大規模施設だけでなく、企業現場でも採用が進んでいます。

パロアルトネットワークスは、IoT／OT領域の意思決定者ならびに実務従事者を対象にした調査「IoT／OTサイバーセキュリティジャパンサーベイ2020年版」を実施していますが、それによると、「業務効率化や既存ビジネス強化を目的に、IoTデバイスをすでに活用している」企業は、全体の61.0％。「今後社内のIoTデバイスが増加する」とした企業は81.8％でした。そして、IoT／OTデバイスのサイバー攻撃を受け、被害を経験したことのある企業は48.1％にまで達していました。

IoT／OTデバイスに対するサイバー攻撃被害発生状況（n=270）

具体的な被害内容を聞くと、「マルウェア感染」27.0％、「不正操作・誤操作」23.3％、「システム停止」21.1％、「ランサムウェア被害」20.0％、「アカウント乗っ取り」15.2％と、多様な被害が発生していることがうかがえます。たとえば医療施設では「不正操作・誤操作」が、インフラ施設では「システム停止」が致命的な被害となり得るでしょう。

被害が発生したIoT／OTデバイス種別

なお被害を受けたデバイスの種類を、製造業・非製造業別で見ると、製造業では「産業機器」32.7％、非製造業では「映像・監視・認証機器」32.0％が最多でした。

IoTデバイス・OTデバイスのセキュリティは、組織横断型の体制が重要に

IoT／OTデバイスに関するセキュリティ主管部門

「IoTデバイス・OTデバイスのセキュリティについて、社内のどの部門が責任を持っているか」（IT部門・事業部門・製造部門・セキュリティ部門・リスク管理部門・明確になっていない・把握していない）を聞くと、IoTデバイス・OTデバイスともに「IT部門」が責任を持っている企業が4割以上でした。ただし事業部門・製造部門という企業も多く、ある意味あいまいな状況にあるのかもしれません。セキュリティ部門はむしろ低く、今後は組織横断型で対応するなど、時代に即した体制が必要になるでしょう。

なお「社内のIoT／OTデバイスを完全に可視化できているか」という設問に対し、「できている」としたのは全体の27.0％に留まっています。

IoT／OTデバイスに関するセキュリティ対策上の課題（n=270）

そして「IoT／OTデバイスに関するセキュリティ対策上の課題」については、「デバイスの数や種類が多い」35.2％が最多で、以下「ITネットワークとつながっている」30.0％、「デバイス自体にセキュリティ対策を導入できない」19.3％といった指摘が上がっています。

IoT／OTデバイスは独立したミニマムな機器であることが多く、セキュリティ対策までをデバイス本体に組み込むのは困難です。そのため、システムを把握して運用でカバーすること、ネットワークのレイヤーを意識したセキュリティを全社で導入することなどが、現実的なアプローチになるでしょう。

調査方法

調査期間：2020年7月27日～31日
調査対象：年間売上高500億円以上、従業員数500名以上の国内民間企業におけるデジタルインフラ、サイバーセキュリティ、IoT／OT領域の意思決定者ならびに実務従事者
調査人数：428名

プレスリリース
https://prtimes.jp/main/html/rd/p/000000002.000059751.htmlhttps://www.paloaltonetworks.jp/company/press/2020/iot-ot-cybersecurity-japan-survey-2020