OTセキュリティはオペレーションチームの仕事？ それともCISO？ フォーティネット：OT組織の75％が「脅威から侵入された経験がある」

フォーティネットジャパンは、「2023年OTサイバーセキュリティに関する現状レポート」を発表した。OTは高い確率でサイバー攻撃の標的にされている一方、セキュリティのスキル不足が深刻化しているという。

[＠IT]

　フォーティネットジャパンは2023年9月5日、「2023年OT（Operational Technology）サイバーセキュリティに関する現状レポート」を発表した。それによるとOT組織の75％が「（2022年中に）少なくとも1件の侵入があった」と回答した。

過去1年間の侵入件数（提供：フォーティネットジャパン）

OTセキュリティの責任の所在を変更するかどうか

　攻撃の種類別に見ると、マルウェア（56％）やフィッシング（49％）による侵入が多く、ランサムウェア攻撃の被害を受けた割合は、2022年に調査したときと同じ32％だった。また、「ITとOTの両方のシステムがサイバー攻撃の影響を受けた」と回答した割合は、2022年の21％から32％に増加した。

　一方、自社のOTセキュリティ態勢の成熟度を「高い」と評価した回答者の割合は、2022年の調査（21％）から2023年は13％に減少した。フォーティネットジャパンは、これを「成熟度が低下した」ではなく、「OTプロフェッショナルの意識が向上したことで、自社のセキュリティ能力を正しく自己評価できるようになった」と分析している。

　他の業界と同様、セキュリティに関するスキル不足は深刻化しており、有能なセキュリティ実務担当者の確保が困難になっているようだ。レポートによると、企業の95％が「OTサイバーセキュリティの責任の所在を、オペレーションを担当するチームやそのリーダーから、最高情報セキュリティ責任者（CISO）に移そうとしている」と回答した。実際、ITセキュリティのリーダーだった人が、OTセキュリティのプロフェッショナルになるケースも多かった。

OTセキュリティの責任の所在と、OTセキュリティ担当者の経歴（提供：フォーティネットジャパン）

　フォーティネットジャパンは、こうしたOTセキュリティの課題を解決するためのベストプラクティスを4つ挙げている。

• ベンダーとOTセキュリティプラットフォームの戦略を策定する
• ネットワークアクセス制御技術を導入する
• ゼロトラストアプローチを採用する
• セキュリティ意識向上の教育やトレーニングを実施する