KPMGコンサルティング、「制御システムサイバーセキュリティ年次報告書2022」(日本語版)を発表

制御システムにおけるサイバーセキュリティに関する調査をグローバルレベルで行い、結果をまとめたレポートの日本語版を発表しました。

制御システムにおけるサイバーセキュリティに関する調査をグローバルレベルで行い、結果をまとめたレポートの日本語版を発表しました。

KPMGコンサルティング株式会社(本社:東京都千代田区、代表取締役社長 兼 CEO:宮原 正弘、以下、KPMGコンサルティング)は、電力、石油、ガス、通信、交通、医療など重要インフラにおける制御システムのサイバーセキュリティに関する調査結果をまとめた「(CS)2AI - KPMG制御システムサイバーセキュリティ年次報告書2022」(日本語版)を本日発表しました。

近年、世界的に重要インフラをはじめ、大手企業の工場などへのランサムウェアによるサイバー攻撃の脅威が飛躍的に増加するなか、機械設備や生産工程を制御するオペレーショナルテクノロジー(OT)の安全で継続的な運用への懸念が高まっています。

本レポートは、世界各国で約580人の業界関係者と、約2万5,000人におよぶ制御システムの安全確保を担うあらゆるレベルの担当者を支援する非営利人材開発組織(CS)2AI(Control System Cyber Security Association International)の会員の一部(サンプル)を対象に、「制御システムのセキュリティ事象」「攻撃活動や防衛技術の傾向」「課題に対処するために組織が優先的に取り組んでいること」といった項目について、2021年に実施した調査結果をまとめたものです。

なお、本レポートでは、前年(2020年)の調査結果に加え、制御システムサイバーセキュリティプログラムの成熟度が高い組織(高成熟度組織)と成熟度の低い組織(低成熟度組織)を多岐にわたって比較分析しています。これにより、自社のセキュリティ対策の状況に合わせ、制御システムサイバーセキュリティの取組みの現状と、目指すべき将来像の実現を確認することができます。

ハイライト

制御システムサイバーセキュリティプログラムの高成熟度組織は、低成熟度組織と比べ多くの点で優っています。

  高成熟度組織 低成熟度組織
制御システム製品/サービスの導入前リスクアセスメントに産業用オートメーションと制御システムのセキュリティ開発ライフサイクルに関する国際標準規格であるIEC62443-4-1の準拠を実施している 34.8% 17.6%
制御システムサイバーセキュリティサービスについて、CISO/CSO/CTO配下の内部セキュリティチームからの提供である 49.3% 21.4%
制御システムサイバーセキュリティのマネージドサービスをすでに導入している 44.3% 12.8%
すべての制御システムのネットワーク稼働状況の監視をすでに実施している 35.7% 13.0%
今後18ヵ月間以内に監視の頻度を増やす予定がある 17.1% 6.5%
ネットワーク上のすべてのデバイス、ユーザー、アプリケーションを継続的に監視している 27.5% 12.5%

主な調査結果

制御システムサイバーセキュリティの進展にあたり、「専門知識の不足」が大きな障壁となっていることが明らかになりました。回答者の約半数(49.1%)が、制御システムへのサイバー攻撃を防ぐうえでの最大の障壁として「制御システムサイバーセキュリティに関する専門知識の不足」を挙げ、約36%が「人材不足」を挙げています。

【制御システムへの攻撃を防ぐうえでの最大のハードルを教えてください(2020年と2021年の比較)】

制御システムサイバーセキュリティ年次報告書2022」(日本語版)を発表_図表1

脅威が拡大し、変化のスピードが加速している現在の環境では「危機意識」を高めることが不可欠で、セキュリティ担当者のスキルや能力を開発するセキュリティ研修に加え、「セキュリティ意識向上トレーニング」の重要性が高まっています。今回の調査からは進展が見られる一方、依然として約2割(17.4%)の組織でOTサイバーセキュリティの意識向上トレーニングが実施されていないことが明らかとなっています。

【制御システムセキュリティ意識向上トレーニングの実施状況を教えてください】

制御システムサイバーセキュリティ年次報告書 2022_図表4

サイバーセキュリティに費やすべき分野について、「セキュリティ意識向上トレーニング」「サイバーセキュリティ要員のトレーニング」「制御システムサイバーセキュリティ担当者の増員」の3項目で高成熟度組織と低成熟度組織が近い割合を示す一方、それ以外の分野については組織の成熟度により20ポイント近い差がみられるものがありました。

【制御システムサイバーセキュリティ対策で投資対効果が高い分野を教えてください(高成熟度組織と低成熟度組織の比較)】

制御システムサイバーセキュリティ年次報告書2022」(日本語版)を発表_図表3

制御システムサイバーセキュリティアセスメントの実施頻度は、前回に引き続き「年1回(24.9%)が最も多い結果でしたが、アセスメントに含まれるコンポーネントにおいては、すべての項目で高成熟度組織の割合が多いだけではなく、包括的なアセスメント(エンド・ツー・エンド)の実施においては、低成熟度組織に対し3倍近い差が表れています。

【自組織における制御システムセキュリティアセスメントに含まれるコンポーネントをすべて教えてください(高成熟度組織と低成熟度組織の比較)】

制御システムサイバーセキュリティ年次報告書2022」(日本語版)を発表_図表4

本レポートの全文はこちらからダウンロードできます:「(CS)2AI - KPMG制御システムサイバーセキュリティ年次報告書2022」

KPMGコンサルティングについて

KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジートランスフォーメーション、リスク&コンプライアンスの3分野から企業を支援するコンサルティングファームです。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。

お問合せ