産業制御システムのセキュリティ実態調査、日本では約9割がサイバー攻撃によるシステムの中断を経験～トレンドマイクロ調査

　トレンドマイクロ株式会社は11日、日本・米国・ドイツ3カ国の製造・電力・石油・ガス産業において、ICS（Industrial Control System：生産設備を制御するシステム）環境のサイバーセキュリティ対策の意思決定関与者900人を対象とした、「産業制御システムのサイバーセキュリティ実態調査」の結果を発表した。

　調査によると、製造・電力・石油／ガス産業のICS環境を所有する法人組織における、サイバー攻撃による産業制御システムの中断経験は、日本が91.3％、米国が92.0％、ドイツが93.0％と、3カ国いずれも高い割合となった。

質問「過去12カ月間に、サイバー攻撃 （マルウェアの感染、脆弱性を悪用する攻撃、不正アクセスなど）により、あなたの組織のICS/OTシステムの運用は何回中断しましたか」（日本：n=300）

　産業制御システムの中断を経験した日本の組織（n=274）の98.2％は、その中断が事業の供給活動に影響を与えたと回答している。トレンドマイクロでは、この結果から、サイバー攻撃が日本の産業界の供給活動に深刻な打撃を与えており、法人組織はICS環境に対するサイバーセキュリティ対策を早急に行う必要があるとしている。

　また、2日間以上産業制御システムの中断が続いたと回答した組織は77.7％で、中断の平均期間は4日間。絶えず稼働することが前提とされている産業制御システムの中断は、短期間の中断でも、組織の収益計画に大きな打撃を与えるとしている。

　産業制御システムが1回以上中断を経験したとする日本の回答者を見ると、産業制御システムが中断したことで、平均して約2億6906万円の金銭的損害が発生したという。

　業界別の平均では、電力が約3億6730万円、石油／ガスが約2億9502万円、製造が約1億5661万円となっており、電力産業と石油／ガス産業の金銭的損害額が、製造産業よりも大きい傾向にある。電力産業と石油／ガス産業で金銭的損害が大きいのは、製造産業よりも中断期間が長く、ひとたびサイバーインシデントが発生すると、インシデント対応に費やすコストが高い傾向があるためと考えられるとしている。

質問「過去12カ月間に、サイバー攻撃によるあなたの組織のICS/OTシステムの中断によって、どのくらい金銭的損害が発生しましたか」（日本：n=274、＜製造n=106、電力n=103、石油／ガスn=65＞）

　また、日本の産業界のICS環境においても、業務効率化を図るためにICS環境をインターネットからアクセス可能なITシステムに接続するようになっているが、その一方で導入をしたクラウドサービスやソフトウェアが起因となり、サイバー攻撃を受ける機会が増加していると指摘。産業制御システムが攻撃を受けたサイバー攻撃の種類についての質問では、回答者の約半数がクラウドサービスの脆弱性を利用したサイバー攻撃（53.3％）と、クラウドサービスの設定間違いを悪用した攻撃（48.7％）を経験している。

　また、ソフトウェアサプライチェーン攻撃を受けている割合も半数（53.0％）を上回っており、被害の影響範囲を迅速に把握するためにも、組織はソフトウェア部品表（SBOM）作成やソフトウェアの修正プログラムを適用するタイミングを事前に検討しておくなど、ソフトウェア管理が今後重要になってくるとしている。

　トレンドマイクロでは、今回の調査の結果、産業制御システムへのサイバー攻撃は、産業制御システムの中断を引き起こし、結果として供給活動の停止や金銭的な被害に高確率でつながる実態が明らかになったと指摘する。

　また、クラウドサービスの利用がICS環境に対するサイバー攻撃の起点になっていることが推測され、ICS環境をインターネットに接続する際には、IT部門とOT部門が連携して、あらかじめサイバー攻撃への対策を講じるとともに、実際にサイバー攻撃が起こってしまった際に想定されるリスクへの対策や、被害を最小限に抑えるための緩和策を検討していくことが必要だとしている。