IoT／OTデバイスに対するサーバー攻撃被害を国内企業の約5割が経験、パロアルトネットワークス調査

　パロアルトネットワークスが発表した『IoT/OTサイバーセキュリティジャパンサーベイ 2020年版』は、国内企業のIoT（Internet of Things：モノのインターネット）／OT（産業制御システム）デバイスのサイバーセキュリティ対策を調査したもの（図1）。従業員数500人以上、年間売上高500億円以上の民間企業におけるIoT/OT領域の意思決定者および実務従事者の428人を対象にしている。

図1：「IoT/OTサイバーセキュリティジャパンサーベイ 2020年版」の概要

　同調査によれば、国内企業の61.0％が、「すでにIoTデバイスを社内で活用している」と回答した。81.8％は今後、社内のIoTデバイスの数が増加するとし、78.0％が自社のIoT分野への投資が増加すると予測している。

　IoT/OTデバイスの重要性が高まるなか、国内企業の48.1％が、企業内で利用するIoT/OTデバイスに対するサイバー攻撃の被害を経験していた。主な被害内容は、「マルウェア感染」（27.0％）、「不正操作・誤操作」（23.3％）、「システム停止」（21.1％）、「ランサムウェア被害」（20.0％）などである（図2）。

図2：IoT/OTデバイスに対するサイバー攻撃被害発生状況（n=270）

　特に製造業では、製造・生産活動や事業計画に深刻な影響を与える「システム停止」（23.3％）が最も多いなど、ビジネスの継続に関わる攻撃被害が目立っている。

　被害を受けたデバイスの種類を見ると、製造業では「産業機器」（32.7％）、非製造業では「映像・監視・認証機器」（32.0％）の被害が最多だった。

　一方で、社内にあるIoT/OTデバイスを完全に可視化できているのは、全体の27.0％にとどまった（図3）。ネットワークに接続されているにもかかわらず、把握できていないIoT/OTデバイスは、企業の重要な情報やシステムに対する侵入口にもなり得る。

図3：IoT/OTデバイスに関する可視化状況

　サイバー攻撃被害が現実化している中で、78.5％が「IoT/OTデバイスのセキュリティ対策に課題を抱えている」と回答した（図4）。具体的には、「デバイスの数や種類が多い」（35.2％）、「ITネットワークとつながっている」（30.0％）、「デバイス自体にセキュリティ対策を導入できない」（19.3％）などである。

図4：IoT/OTデバイスに関するセキュリティ対策上の課題

　パロアルトネットワークスは、「デバイス自体にセキュリティ対策を組み込めないIoT/OTデバイスの特性から、ネットワーク全体での可視性の向上とネットワークレイヤーでの防御が、IoTセキュリティの具体策として、重要かつ現実的なアプローチになる」と述べている。