IDC Japanは4月27日、国内企業のIoT(モノのインターネット)およびIIoT(産業分野向けIoT)、OT(制御技術)システムのセキュリティ対策について調査した結果を発表した。同調査は、2月に国内企業443社を対象に実施したものだ。
説明に当たったIDC Japan リサーチマネージャーの赤間健一氏は、まずIoTやIIoT、OTシステムの過去1年間におけるセキュリティ事件や被害について、「事件/事故が発生したことがある」「事件/事故には至らなかったが危険(脅威)を感じたことがある」の合計が36.4%だったと述べた。この数値は、前年の34.4%と大きく変わらず、「セキュリティ事件や事故の発生が常態化している」と赤間氏。その上で、「生産/製造ラインやシステムの停止などは経営を脅かすリスクだ。こうしたリスクに対し、適切に投資して対策を強化する必要がある」とした。
IDC Japan リサーチマネージャー 赤間健一氏
事故や事件の内容としては、「生産/製造ラインやシステムの一時停止(一部停止)」が最も多く25.5%だった。事件や事故が発生している場所については、「外部ネットワーク接続部分」が40.4%と最多で、「社内ネットワーク内」が38.5%、「産業用制御システムなどのOTネットワーク内」が13.0%、「IoT/IIoTシステムネットワーク内」が11.8%と、ネットワークに関連する場所が上位を占めた。ネットワーク以外では、「USBポート」での事件や事故が27.3%と最も高かった。
セキュリティ対策の状況については、半数以上の52.3%が「対策は十分」と回答。一方で、「対策が不十分」とする企業(47.7%)のうち、「対策を計画していない」企業が13.1%、「対策が必要だと考えていない」企業が5.9%存在することに、赤間氏は懸念を示している。
セキュリティ対策導入の課題となる点については、「予算の確保」が40.4%とトップに。また、「導入効果の測定が困難」との回答も26.2%に上り、経営に関わる課題が障壁となっていることが分かる。また、「専門技術者の人材不足」(30.9%)、「運用管理」(27.5%)、「ユーザー(現場)教育」(27.3%)の比率も高く、「現場での人材リソースも課題だ」(赤間氏)としている。
既に導入済みの製品としては、「ファイアウォール」(57.4%)、「ウイルス対策製品」(42.2%)、「IDS(不正侵入検知)/IPO(不正侵入防御)」(25.5%)などの導入率が高い。一方、IoT/IIoT、OTシステム向けのセキュリティ対策としては、「ホワイトリスト型セキュリティ製品」が17.6%と唯一2桁の数値を示しているものの、その他は「IoT/IIoT脅威検知製品」(9.1%)、「IoT/IIoT脆弱性診断製品やサービス」(8.1%)、「OTシステム脅威検知製品」(6.6%)など、いずれも導入率が10%未満だった。
この分野におけるセキュリティ対策で、幹部の関わり方を聞くと、「経営幹部はセキュリティ対策責任者に意見や要望を出し、任せている」とする企業が26.0%、「経営幹部は特に関与しておらず、現場責任者にセキュリティ対策の意思決定を任せている」企業が26.6%と、経営幹部が積極的に関与していない企業が半数を超えているという。この傾向は、特に「通信、メディア」「運輸」「公共/公益、資源」といった業界で顕著だった。
赤間氏は、「IoTデバイスが急増したことで、法規制や社会的要請といった観点からもセキュリティ対策やデータの保護は急務となっている。セキュリティガイドラインやフレームワークに沿った対策や体制を構築することで、安定した経営基盤が築ける」と指摘。また、「企業は攻めのセキュリティ投資によって経営を脅かすリスクを低減し、経営基盤を安定化させなくてはならない。その上でデジタルトランスフォーメーション(DX)を推進することが、中長期的な企業価値の向上につながる」としている。
