企業が産業用IoT(IIoT)と運用技術(OT)の活用で次のステップを模索する中、新たな調査によると、多くの企業がこの2つの技術をめぐるセキュリティプロジェクトで失敗を経験していることが明らかになりました。バラクーダネットワークスは、「2022年の産業セキュリティの現状」レポートの一環として、上級ITマネージャー、上級ITセキュリティマネージャー、プロジェクトマネージャー800名を対象に調査を実施し、実に93%がセキュリティプロジェクトの失敗を経験していることが明らかになりました。
セキュリティ プロジェクトを完了した企業の 75% が重大なインシデントによる影響をまったく受けていないことから、組織のセキュリティ維持に関しては、これが大きな違いを生む可能性があります。
「現在の脅威の状況では、重要インフラはサイバー犯罪者にとって魅力的な標的となっています。しかし残念ながら、IIoT/OTセキュリティプロジェクトは他のセキュリティ対策に後回しにされたり、コストや複雑さのために失敗したりすることが多く、組織を危険にさらしています」と、バラクーダのデータ、ネットワーク、アプリケーションセキュリティ担当エンジニアリング担当シニアバイスプレジデントのティム・ジェファーソン氏は述べています。「ネットワークセグメンテーションの欠如や、多要素認証(MFA)を義務付けていない組織の数といった問題により、ネットワークは攻撃に対して無防備な状態にあり、早急な対応が必要です。」
参照: 採用キット: IoT 開発者(TechRepublic Premium)
重要インフラの一部は脆弱である
バラクーダによると、重要インフラは常に攻撃の脅威にさらされており、企業はサイバーセキュリティだけでなく、ますます厳しくなる地政学的環境に関連する多くの課題に直面しています。調査によると、調査対象となった組織の94%が過去1年間にセキュリティインシデントを経験したと回答し、89%が米国と中国やロシアなどの国々との不安定な国際関係が自社の事業に及ぼす影響を懸念しています。
ガートナーは先月、今後のサイバーセキュリティに関する8つの予測を詳述したレポートを発表し、脅威の主体が運用技術環境を武器にして人的被害を引き起こすことに成功していることが、今後数年間に組織が認識すべき主な懸念事項の1つであると指摘しました。
IIoT/OT分野におけるサイバーセキュリティリスクの高まりを受け、企業はセキュリティ意識の向上の必要性を認識していますが、製造業とヘルスケア分野ではセキュリティプロトコルの検討が依然として遅れています。バラクーダの報告によると、石油・ガス業界では50%がプロジェクトを完了しているのに対し、製造業では24%、ヘルスケアではわずか17%にとどまっています。このため、主要な分野がリスクにさらされており、ガートナーの予測が2025年までに現実のものとなる可能性があります。
「IIoTへの攻撃はデジタル領域にとどまらず、現実世界にも影響を及ぼす可能性があります」と、バラクーダのネットワークセキュリティ担当バイスプレジデント、クラウス・ゲリ氏は述べています。「業界を問わず攻撃が増加し続ける中、産業セキュリティに関してプロアクティブなセキュリティアプローチを採用することは、企業が次の攻撃の被害者にならないために不可欠です。」
重要なインフラストラクチャ組織はセキュリティ上の懸念にどのように対処しますか?
IIoT/OTの導入が進んでも進展が遅れている分野の一つが、多要素認証の不足です。調査対象となった組織のうち、OTネットワークへのリモートアクセスに関してネットワークアクセスを制限し、多要素認証(MFA)を適用しているのは5分の1未満(18%)です。エネルギー分野などでさえ、47%が依然として多要素認証を使用せずにフルアクセスを許可しています。多要素認証(MFA)の普及は、国の主要セクターが脆弱なままになるか、広範囲に及ぶ影響をもたらす壊滅的な攻撃を回避できるかの分かれ目となる可能性があります。
企業が攻撃を防ぐ他の方法としては、事後対応型ではなく予防型のセキュリティアップデートを導入すること、従業員へのトレーニングを充実させて組織内でアップデートを適用できるようにすること、そして手動でインストールする必要がないようにプロセスを自動化して混乱を回避することなどが挙げられます。組織がこれらの潜在的な修正を実践できれば、特に重要インフラにおいて、収益損失や人命損失につながる深刻な攻撃を回避できる可能性があります。
