IDC Japan株式会社は、2020年1月に国内企業360社に対して実施したIIoT (Industrial Internet of Things)/OT (Operational Technology)システムのセキュリティ対策に関する実態調査結果を発表した。製造業におけるIIoTシステムは、IoTテクノロジーによって生産性を向上させ、得られたデータをクラウドに集約/分析し活用することで企業に付加価値と競争力をもたらすシステムである。近年、品質管理、モニタリング、製造プロセスの最適化など、自動車、ヘルスケア、物流など多くの産業分野で導入が進んでいる。また、OTシステムや産業制御システム(ICS:Industrial Control System)はエネルギーなどの公共インフラを担う企業や公益事業者、製造業で主に利用されているが、利便性や効率化などの観点で情報システムとのネットワーク接続が進んでいる。そのため、サービスの安定提供を脅かすサイバー攻撃がOTシステムにおいてもリスクとして顕在化してきており、サービスの継続維持のためのセキュリティ体制と対策が求められている。IDCではこのような産業分野のIIoT/OTセキュリティに関する実態調査を行った。この結果、IIoT/OTセキュリティ被害状況に関して、「加工組立製造」「プロセス製造」などの製造業では、「事件/事故が発生したことがある」と「事件/事故にはならなかったが危険を感じたことがある」の合計が30%を超える結果だった。また、工場やシステムの破壊/破損/故障、生産/製造ラインの停止、制御データやパラメーターの改竄など、IIoT/OTシステムに関わるシステム特有のセキュリティ事件/事故を全体で34.4%(危険を感じたことがあるを含む)の企業が経験していると回答した。「外部ネットワーク接続部分」での事件/事故が最も多い結果から、IIoT/OTシステムがネットワークにつながることによってサイバー攻撃のリスクが高まっているとIDCは考えている。さらに、IIoT/OTセキュリティ対策状況に関して、半数近くの49.8%の企業が不十分と認識しているが、導入/強化を計画していない企業が19%以上あり、セキュリティ導入にあたり課題を抱えていることが判明した。セキュリティ導入課題では、経営に関わる「予算の確保」「導入効果の測定が困難」、現場に関わる「専門技術者の人材不足」「運用管理」「ユーザー(現場)教育」「導入作業」と、経営に関わる課題と現場の人材リソースに関わる課題がいずれも20%を超え上位を占める結果だった。従業員規模が100人以下の企業においては、「導入コスト」「運用コスト」を最も重視する傾向が見られる。中規模以上の企業では「ベンダーの信頼性」「ベンダーの技術力」を最も重視する傾向が見られた。以上のことから、IIoT/OTシステムへの積極的なセキュリティ投資がされていない現状があることが判明した。それぞれの企業が抱える課題は多岐に渡っているが、「予算の確保」をおこない、「運用管理」「専門技術者の人材不足」に投資し、負の連鎖を断ち切り、体制強化と業務効率化を進めていくことが改革の第一歩になるとIDCは考えている。組織体制については、サイバー攻撃に対処する組織を設置していない企業がどの産業分野においても半数を超えており、従業員規模別では、幹部のセキュリティへの関わり方が低い企業は半数を超える結果だった。セキュリティ対策予算に関して、従業員規模が大きくなるに従い予算が確保されている企業は増加しており、幹部の関わり深度と予算の確保に相関が見られた。IIoT/OTシステム投資額に対するセキュリティ関連投資の割合は6割以上の企業が「10%未満」だった。2019年度と比較した2020年度の増減見込み率は「増減なし」が52.2%と半数を超えた。減少見込みの企業が13.1%と増加見込み企業よりも2.0%多く、企業がIIoT/OTシステムのセキュリティ投資に積極的であるとはいえない状況とみている。IIoT/OTシステムのセキュリティ対策は不十分と認識している企業において、その導入には様々な課題があり、容易ではない状況が判明した。産業分野毎にセキュリティ主管部門の傾向が異なるなど、情報システムと異なる点があり、IIoT/OTセキュリティは情報セキュリティとは同様に解決できない。IDC Japan ソフトウェア&セキュリティのリサーチマネージャーである赤間 健一氏は「システムの安定稼働を最優先としながら、ビジネスに直結したシステムのセキュリティを確保には課題を可視化し経営幹部が理解し、セキュリティへの関与を深めることがIIoT/OTセキュリティ対策の第一歩である」と分析している。
