ここ数年、産業用制御システム(ICS)に対するサイバーセキュリティの事例が、一般大衆向けのメディアでも取り上げられるようになりました。残念ながら、問題はBlackEnergyやOperation Ghoul(英語記事)のような産業部門を狙う標的型攻撃だけにあるのではなく、特定の相手を標的としない一般的なサイバー脅威にもあります。最近の例では、「WannaCry」ランサムウェアがそれに当たります。WannaCryはICSに狙いを定めていたわけではありませんが、多くのICSネットワークに侵入し、中には産業プロセスが停止に追いやられたケースもありました。
では、ICSのセキュリティを担う実務担当者は、どのように脅威に対処しているのでしょうか。また、どのようにリスクを認識し、リスクに対処するスキルをどのように身に付けているのでしょうか。リスクに対する認識と現実は、どの程度一致しているのでしょうか。Kaspersky Labは、産業組織内のICSインシデントに対する認識と現実との間に隔たりを認めました。そこで当社では、Business Advantage社の協力のもと、産業向けサイバーセキュリティ実務担当者359人を対象にグローバル調査を実施しました。
ICS向けサイバーセキュリティの調査結果
- 83%の回答者が、ICSサイバーセキュリティインシデントについて十分に認識しているとしています。一方で、調査対象企業の半数が過去12か月間に1~5件のITセキュリティインシデントを経験しており、そのうち4%は6件を超えるITセキュリティインシデントを経験しています。
- サイバーセキュリティ実務担当者は現実を認識していますが、その認識が共有されているとは言い切れないと考えています。31%の回答者は、経営陣にとってICSサイバーセキュリティの優先順位は低いと回答しています。
- 500人以上の従業員を抱える産業組織の場合、セキュリティ関連の累積損失は年間平均で497,000ドルに上ります。
- 大半のICS企業にとって最大の懸念事項は従来型マルウェアであり、回答者の56%が最も懸念する攻撃と考えています。この点については認識と現実が一致しており、昨年、従来型マルウェアによる損害への対応を余儀なくされたと回答した人は半数に上りました。
- セキュリティインシデントがもたらす影響の上位3項目は、「製品やサービスの品質低下」、「占有情報や機密情報の消失」、「現場の生産力の低下や喪失」でした。
- 調査に参加した企業の半数が、自社内の産業用制御ネットワークに社外プロバイダーがアクセスできるようになったために脅威の境界が広がったと認めています。
- 81%の企業が、産業用ネットワークでの無線接続の使用が増加していると回答しています。これは、エアギャップというセキュリティ戦略の実効性が失われたことを示唆しています。
- 導入率の高いセキュリティ製品のトップ3は、アンチマルウェア、ネットワーク監視、デバイスアクセスコントロールです。一方で、54%の企業が脆弱性スキャン/パッチ管理を導入しておらず、導入している企業の41%は1か月に1回、またはそれ以下の頻度でしかパッチを適用していません。WannaCryの例からわかるように、これでは確実な対策になりません。
結論
今回の調査で、サイバーセキュリティ実務担当者が脅威を認識していることが判明した一方で、脅威に対する認識や対応を見るに、脅威の性質や脅威との戦い方について理解をさらに深める必要があると見受けられます。現行の産業向けサイバーセキュリティ戦略の多くは、セキュリティ製品を導入していても、強固なプロセス、指針、適切に実装されたソフトウェアが伴っておらず、一貫性に欠けたものとなっています。
産業用制御システムの保護に関するKaspersky Labの推奨事項は人への投資、すなわち、企業を危険に陥れる脅威や行動を理解してもらうために社員の問題意識を高め、教育を実施することです。スキル不足の解消は、産業のサイバーセキュリティに必要なマネジメントを、この分野に必須の要件を心得た社外の専門チームへ委託することで実現可能です。
また、セキュリティ戦略の一貫性という部分では、産業用制御システム向けに開発されたサイバーセキュリティ製品の導入が一考に値することでしょう。
『ICSサイバーセキュリティ:現場の視点』レポートの全文をご覧になりたい方は、下のフォームに必要事項をご記入のうえ、[送信]をクリックしてお申し込みください。レポートは英語でのご提供となります。