ビジネスが停止しても「対策は十分」？ IoTセキュリティ事故の企業実態調査

深刻なセキュリティインシデントが続く一方で、多くの企業は「これ以上できることはない」と考えている――。環境の複雑化やビジネスのデジタル化にセキュリティ対策が追いつかず、攻撃者にとって「狙い目」となっている状況が、調査から浮かび上がった。

[高橋睦美，キーマンズネット]

　ビジネスの現場におけるIoTデバイスの活用が広がっている。例えば製造業を見ると、リモートでの監視や管理、生産ラインのセンサーから得たデータの活用などで付加価値を高め、デジタルトランスフォーメーション（DX）を推進する企業の例は多い。

　一方、IoTやOTのセキュリティ対策は、既存の情報システムと同じような手法では実施が難しい。情報システムとは対応するべきデバイスの数が桁違いに多く、さらにハードウェアの制限が大きいためだ。

　これらの背景から、サイバー攻撃者はIoTデバイスを狙い始めている。NICTの調査によれば、サイバー攻撃のうちIoTデバイスを狙ったものは3割近い。

　IoTやOTを狙うサイバー攻撃の実態はどうなっており、企業側の対策はどの程度進んでいるのか。

IoTに関わるセキュリティ事故は常態化

　IDC Japanは2021年4月27日、「国内企業のIoT/OTセキュリティ対策実態調査」の結果を発表した。 調査は2021年2月に国内443社を対象に実施したもので、回答者には情報システム部の責任者や担当者、技術部門や生産部門の責任者や担当者を含む。

　調査の結果について、IDC Japanの赤間健一氏（ソフトウェア＆セキュリティ リサーチマネージャー）は「コロナ禍においても、DXを推進する企業はIT投資に積極的だ。今を『ライバル企業と差をつけるチャンス』と見て、IoTを活用したDXを進めている企業も多い」と総括した。

　調査ではまず、過去1年でIoTやIIoT、OTなどのシステムにおけるセキュリティインシデントを経験したかどうかについて聞いた。「経験した」と回答した企業の割合は7.7％で「事件や事故には至らなかったが、危険（脅威）を感じたことがある」と回答した企業の割合は28.7％だった。この数字は、2020年に実施した前回調査の結果とほぼ変わらなかった（図1）。

（図1）過去1年でIoTやIIoT、OTなどのセキュリティインシデントを経験したか（出典：IDC講演資料）

　実際に発生した事件や事故で、最も多かったのは「生産／製造ラインやシステムの一次停止」（25.5％）だった。次いで「マルウェア感染（ランサムウェア、Mirai以外）」（24.8％）、「情報／データの漏えい」（23％）の順となった。事業継続に深刻な影響を与えかねないインシデントである「工場やシステムの破壊／破損／故障」（18.6％）、「生産／製造ラインやシステムの完全停止」（18.0％）、「制御データや各パラメーターなどの改ざん」（11.2％）といった回答も挙がっていた。

　「IoTはハードウェアの制限が多く、デバイスの数が多い。そのため情報システムのようなセキュリティ対策は取りづらい。攻撃者にとっては非常に狙いやすく、IoTデバイスを標的とした攻撃が常態化している」（赤間氏）

　こうした事件や事故の発生場所を聞いたところ、最も多かった回答が「外部ネットワーク接続部分」で40.4％、次いで「社内ネットワーク内」が38.5％となった。一方で、外部とは接続せずに閉じた環境で使っているはずの「産業用制御システムなどのOTネットワーク内」でインシデントが発生した割合も13.0％あった。

　「産業用制御システムは『クローズドな環境なのでセキュアだ』という認識が強い。しかし、データドリブンビジネスの志向によって一部でネットワークへの接続が発生し、そこからインシデントが起きるケースが増えている。今後はこの部分をどう保護するかが課題になってくるだろう」（赤間氏）

インシデントが続く一方で「対策はしない」、なぜ？

　こうした実情に対し、企業側はどう対応しているか。そこで自社のセキュリティ対応状況についてどう認識しているかを聞いたところ、意外なことに52.3％が「対策は十分」と回答していた。また、「対策が不十分」と考える企業（47.7％）のうち、「対策を計画していない」企業が13.1％、「対策が必要だと考えていない」企業が5.9％あった（図2）。

（図2）自社のセキュリティ対応状況をどう認識しているか（出典：IDC講演資料）

　「特に、規模の小さな企業で『対策を計画していない』や『対策は不要』と回答する割合が高かった」（赤間氏）

　企業が導入しているセキュリティ対策を聞くと「ファイアウォール」（57.4％）と「ウイルス対策製品（ホワイトリスト以外のもの）」（42.2％）と回答した割合が高かった一方で、それ以外の製品は導入率が低い。特に「ホワイトリスト型セキュリティ製品」（17.6％）、「IoT/IIoT脅威検知製品」（9.1％）、「IoT/IIoT脆弱性診断製品／サービス」（8.1％）など、IoTやIIoTに特化したセキュリティ製品の導入はあまり進んでいないことが分かった。

ガイドラインの認知度は低く、経営層の関与も少ない

　IoTに対する脅威の高まりを背景に、経済産業省や総務省、海外の政府機関はIoTセキュリティに関するガイドラインやフレームワークを整備している。しかし、調査ではそれらの認知度が低いことも明らかになった（図3）。

（図3）IoT、IIoTシステムのセキュリティに関して、どのようなガイドラインやフレームワークを採用しているか（出典：IDC講演資料）

　最も広く認知されていたのは「経済産業省・総務省のIoTセキュリティガイドライン」だったが、それを「採用している」と回答したのは12.6％だった。「CCDS製品分野別セキュリティガイドライン」をはじめとするその他のガイドラインは、4割前後が「分からない」と回答している。

　企業内でIoTやIIoT、OTシステムを狙ったサイバー攻撃に対処する体制が整っているかどうかを聞いたところ、二極化の傾向が見えた。3000人以上の大規模企業では84.5％が「IoT/OT分野のシステムに対するサイバーセキュリティチーム・組織を整備している」と回答した一方で、100人未満の企業では86.5％が「設置していない」と答えた。

　取締役会レベルの経営幹部がセキュリティに関与している企業が10.4％ある一方で「セキュリティ対策責任者に意見や要望を出し、任せている」企業が26.0％、「経営幹部は特に関与しておらず、現場責任者にセキュリティ対策の意思決定を任せている」企業が26.6％あった。これは業種による差が大きく、「通信、メディア」「公共／公益、資源」では幹部の関わり方が高い結果となった一方、「医療、福祉」「教育」では主管部門が決まっていないとする回答が比較的多かった。

（図4）業種や企業規模によってセキュリティ対策体制に差（出典：IDC講演資料）

ベンダーの対策も進むが……

　IoTデバイスを起点としたデータドリブンビジネスにおいては、これまで以上にデータの保護が重要になる。セキュリティ被害やインシデントが企業の経営リスクになりうる一方で、現場は「予算がないか、予算をもらいたくても経営層の理解がない」という状況にあるようだ。

　「IoTやOTの担当は、生産部門のリーダーであることが多い。セキュリティ対策が生産ラインに与える影響を懸念して、対策が進みにくいケースもある」（赤間氏）

　一方で同氏は、MicrosoftによるCyberXの買収を例に「ITベンダーとIoT／OTセキュリティベンダーの合流によって、セキュリティの統合（コンバージェンス）が進む可能性もある」と期待を見せる。

　ITセキュリティにOTやIoTのデバイスを組み込めば、総合的なセキュリティの仕組みが構築できる。しかし、IoTデバイスのビジネス利用が進む一方でセキュリティ対策が出遅れているのが現状だ。攻撃者にとっての「狙い目」である状態はすぐには変わらないと思われ、各企業の対策がビジネスの明暗を分ける状況は続きそうだ。