「外部ネットワークへの接続部分での事件や事故が多い」 IDCがIoTなどのセキュリティ対策に関する実態調査：IoTなどの脅威リスクを再評価する必要がある

IDC Japanは、IoT／IIoTとOTシステムのセキュリティ対策に関する実態調査結果を発表した。セキュリティの事件、事故を経験した企業は36.4％。IDCは「外部ネットワークへの接続部分での事件や事故が多い」としている。

[＠IT]

　IDC Japan（以下、IDC）は2021年4月27日、IoT（Internet of Things）／IIoT（Industrial Internet of Things）とOT（Operational Technology）システムのセキュリティ対策に関する実態調査結果を発表した。

経験したことのあるセキュリティ事件／事故（出典：IDC Japan）

　IDCの調査によるとIoT／IIoT、OTに関するセキュリティの事件、事故を経験したことがあると回答した企業の割合は36.4％で、2020年に実施した調査と比べて2.0ポイント増加した。

マルウェア感染、データ漏えいなどを経験した企業が多い

　経験した事件、事故の内容について、「生産／製造ラインやシステムの一時停止（一部停止）」を挙げた割合が25.5％（複数回答、以下同）で最も高かった。次いで、「マルウェアの感染（ランサムウェア、Miraiなど）」が24.8％、「情報／データの漏えい（外部犯行）」が23.0％、「工場やシステムの破壊／破損／故障」が18.6％、「なりすましによる不正ログイン」と「生産／製造ラインやシステムの完全停止」がどちらも18.0％だった。

　IDCは「外部ネットワークへの接続部分での事件や事故が最も多い。インターネットや社内ネットワークに接続するIoT／IIoT、OTシステムの脅威リスクを再評価し、高度化するサイバー攻撃への対策を講じる必要がある」としている。

約半数の企業が「セキュリティ対策が不十分」

　セキュリティ対策状況については、不十分と認識している企業の割合が47.7％。だが、セキュリティ対策の導入や強化を予定していない企業が19.0％あった。セキュリティ導入に関する課題については、経営に関わる「予算の確保」「導入効果の測定が困難」という課題や、現場に関わる「専門技術者の人材不足」「運用管理」「ユーザー（現場）教育」「導入作業」といった課題が25％を越えていた。

　IDC Japanでソフトウェア＆セキュリティのリサーチマネジャーを務める赤間健一氏は、「企業は引き続き“攻めのセキュリティ投資”によって経営リスクを低減し、経営基盤を安定化させることが重要だ。その上で、デジタルトランスフォーメーションを推進することで、中長期的な企業価値の向上につながる」と分析している。