IoTセキュリティに関連し2年間で90億円超の損失を被った企業も、米デジサートの調査

　米デジサートが公開したのは『IoTセキュリティの現状に関する調査2018』。米英独仏と日本の重要インフラストラクチャ業界における700の企業／組織を対象に、2018年9月にReRez Researchが実施した。日本企業100社が含まれる。

　同調査は、企業がビジネスモデルにIoTを取り入れる際、その実践方法に誤りがあるために多額の金銭的損失が発生し続けていると指摘する。過去2年間で約8100万ドル（約90億7200万円。1ドル＝112円換算、以下同）の損害を被った企業もあるという。

　IoTプロジェクトにおける最大の懸念はセキュリティとプライバシー。セキュリティの課題を懸念するかという質問に対し、「やや懸念する」から「極めて懸念する」までの回答合計は82%だった。

　同調査は、回答者を「上位企業」「中位企業」「下位企業」の3つに分けている。上位は、「問題が少なく、IoTセキュリティの特定側面への対応に精通している企業」、中位は「IoTセキュリティの成果スコアが中程度の企業」、下位は「多くの問題が発生しており、IoTセキュリティの習得が困難であると答えることが多い企業」である。

　過去2年間に社内で発生したIoT関連のセキュリティインシデントおいて、下位企業では、すべての企業で問題が発生したのに対し、上位企業での発生は35％にとどまった。

　下位企業と上位企業の回答数の比較では、「IoTベースのDoS（サービス拒否）攻撃を受けた」との回答は下位企業が上位企業の4.6倍以上、「IoTへの不正アクセスがあった」は4.8倍以上に及んだ。「IoTベースのデータ漏えいを経験した」との回答は2.3倍近くあり、「IoTベースのマルウェアまたはランサムウェアの攻撃を受けた」との回答も3.3倍に上る。

　日本の100社において、IoTセキュリティ関連で過去2年間に発生したコストの内訳の上位5項目は、「金銭的損害（49％）」「生産性の喪失（38％）」「評価・評判の喪失（26％）」「株式価格（25％）」「個人のキャリアに与える否定的影響（21％）」だった。

　IoTセキュリティの損失による過去2年間の金銭的ダメージにおいて、法的およびコンプライアンス違反による損失が中央値で約255万ドル（約2億8560万円）である。

　こうした現状の回避策として、調査から明らかになった推奨事項として次の5つを挙げる。（1）リスクを見直す、（2）すべてを暗号化する、（3）常に認証する、（4）完全性の実装、（5）拡張性を考量して戦略を立てる、だ。