特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
特集
» 2017年11月17日 10時00分 公開

産業制御システムのセキュリティ:製造業のセキュリティリスクは急増中? 調査から見える現状 (2/3)

[翁長 潤,MONOist]

企業の経営層のセキュリティリスクへの認識は不十分?

 2017年にランサムウェア「WannaCry」の騒動が起きた際には、工場が操業停止に追い込まれる事態も発生している。トレンドマイクロによると、インターネットに直接つながっていないということでリスクと認識されていなかった環境が、国内でさまざまな脅威に脅かされていることを深刻に受け止めるべきだとしている。

 今回の調査では、セキュリティ対策の網羅性を把握するため「セキュリティ対策包括度」(技術的対策 60点満点、組織的対策 40点満点)でスコアリングしている。全体的に見ると「情報サービス・通信プロバイダー」(77.9点)、「金融」(73.8点)、中央省庁(70.9点)という順位であった。製造業は「63.8点」で民間平均(63.5点)とほぼ同じだった。

 また、経営層・上層部がどれだけサイバーセキュリティを事業継続上・組織運営上のリスクとして捉えているか、どれだけ自組織のセキュリティ対策に積極的に関与しているかを調査している。

 リスクとして「十分理解している」「ある程度理解している」の2つを合わせた回答比率を業種別に見ると「情報サービス・通信プロバイダー」「金融」が高い。製造業は、両方を合わせると7割を超えているが、これは裏を返せば約3割の企業の経営層がリスクとしていまだに認識していないことを表している。

photo 図3 情報セキュリティに関する経営層のリスク認識(クリックで拡大)出典:トレンドマイクロ「法人組織におけるセキュリティ実態調査2017年版」

現実的な技術的対策が必要

 セキュリティ対策を実施するうえでは、攻撃手法や守るべきものに応じてそれに見合った対策を技術的にどれだけ実施することができるかが1つの重要ポイントである。

 例えば、なりすましメールを含めたメールへの対策を総合的に実施しているのは、全体の72.1%と一般的になっている。一方で、メールやリムーバブルメディアを経由した実行ファイルの授受を禁止しているのは42.2%にとどまっている。

 製造業ではメールやリムーバブルメディア関連の脅威に被害を受けていることが多い。これらに関する対策は、特にセキュリティ対策に十分な予算を割くことが難しい組織では確実に実施した方がよい。トレンドマイクロは、予算や優先度と照らし合わせて現実的な対策から強化することも有効な手法だとしている。

ランサムウェア対策で増加するセキュリティ予算

 セキュリティ対策を実施するうえでは、組織的な部分でも徹底した取り組みが重要となる。今回の調査結果では、全体的に組織的対策も進んでいることが分かった。インシデント対応のプロセスの文書化と見直しの徹底ができている組織は、全体で43.4%と前年比で5.0%と増加。しかし、定期的に実施している企業よりも、不定期か過去に実施しただけにとどまっている組織の割合が多いことも明らかになった。

 今回の調査では、近年被害が急増しているランサムウェアへの対策に伴うセキュリティ予算への影響も調査した。調査の結果、全体の22.5%が増加、21.6%が増加に向けて調整中となり、合わせて44.1%がセキュリティ予算の増加に向けて動いていることが分かった。

製造・生産環境におけるセキュリティ対策状況

 業種特有の環境もさまざまな脅威にさらされている。調査では、業界特有の非IT環境におけるセキュリティ対策状況も調査している。製造業における「製造・生産環境」のセキュリティ対策の状況としては、セキュリティ対策が「十分」(22.9%)、「ある程度」(42.7%)となり、あまり進んでいない実態が浮き彫りとなった。今後、IoT(モノのインターネット)に代表されるあらゆるものがインターネットにつながる状況を考えると、セキュリティ対策の徹底が求められる。

Copyright © ITmedia, Inc. All Rights Reserved.