OTセキュリティを経営幹部の管掌事項に格上げしている企業が増加、フォーティネット年次グローバル調査

　米Fortinet（以下、フォーティネット）は現地時間7月9日、年次グローバル調査の結果を分析し、「2025年OTサイバーセキュリティに関する現状レポート」を発表した。同報告書は、オペレーショナルテクノロジー（OT）のサイバーセキュリティの現状を示すもので、IT/OTで拡大し続ける脅威に対処する上で、組織が今後さらに取り組むべき課題を明らかにしている。

　調査は、フォーティネットの委託により第三者機関が世界規模で毎年実施しているもので、7年目となる今年は、日本を含む31の国と地域の、OTヘビーユーザーであるさまざまな業種に従事するOTプロフェッショナル上級職の550人以上を対象に実施した。レポートでは、OT組織に影響を与えるトレンドと洞察に加え、ITおよびOTセキュリティチームがサイバーフィジカルシステムのセキュリティを向上させるためのベストプラクティスも紹介している。

　調査によると、サイバーセキュリティをCISOなどの経営幹部の職責に移行することを検討する企業が、世界的に大きく増加している。説明責任が経営幹部へと移行し続ける中で、OTセキュリティが取締役会レベルで重要な課題として浮上しているという。過半数（52％）の組織が、OTの責任をCISOまたはCSOが担っていると回答しており、2022年の16％から大きく増加した。また、Cレベル幹部全体で見ると、この割合は95％に急増している。さらに、今後1年以内にOTサイバーセキュリティをCISOの管轄下に置くことを計画している組織は、2025年にかけて60％から80％へと増加している。

　OTセキュリティ成熟度についての回答者の自己評価は、2025年の成熟度は大きく高まっている。基本的なレベル1では、26％の組織が可視性の確立とセグメンテーションの実施を報告しており、前年の20％から増加している。自社のセキュリティ成熟度については、レベル2（アクセスとプロファイリングが確立されている段階）に位置付けた組織が最も多い。

　また、成熟度と攻撃の間に逆相関が見られることも明らかになった。レベル0～4のうち成熟度が高いと自己評価している組織では、攻撃が比較的少なくなっており、フィッシングなどの洗練度の低い手口に効果的に対処している。ただし、高度な標的型攻撃（APT）やOTマルウェアといった手口は検知が難しく、成熟度の低い組織では、こうした攻撃を検知できるセキュリティソリューションが未導入で、侵害の事実を確認できていない可能性がある点には留意が必要だと指摘している。全体として、半数近くの組織が影響を受けた一方で、侵入の影響は減少しつつあり、特に、収益に影響する運用停止の割合は52％から42％に減少している。

　成熟度が侵入の影響に関係していることに加えて、基本的なサイバーセキュリティ対策やトレーニングや啓発などのベストプラクティスの採用が効果を上げているという傾向もあり、ビジネスメール侵害の大幅な減少を含む具体的な改善が見られる。

　その他のベストプラクティスとして、脅威インテリジェンスの活用が2024年から49％増加しているほか、OTデバイスベンダーの数が大幅に減少しており、業界の成熟と運用効率の向上が示されてる。また、OTベンダーを1～4社しか利用していない組織が78％に増加しており、その多くがベストプラクティスの一環としてベンダーを絞り込んでいると見られる。

　フォーティネットでは、サイバーセキュリティベンダーの集約は成熟の兆候でもあり、フォーティネットのOTセキュリティプラットフォームを利用する顧客の経験とも一致していると説明する。リモートOTサイトでのネットワーキングとセキュリティの統合により、可視性が向上し、サイバーリスクが軽減されることで、フラットネットワークと比較してサイバーインシデントが93％減少している。また、簡素化されたフォーティネットのソリューションによってトリアージとセットアップの手間が削減されることで、パフォーマンスが7倍向上したという。

　レポートでは、組織のセキュリティ態勢を強化するための実用的なインサイトを提示している。OTセキュリティに関する諸課題により容易に対処できるようになるベストプラクティスとしては、「OT資産を可視化し、制御で補完」「セグメンテーションの導入」「OTをセキュリティオペレーション（SecOps）とインシデントレスポンス計画に統合」「プラットフォームアプローチをセキュリティアーキテクチャ全体に採用することを検討」「OTに特化した脅威インテリジェンスとセキュリティサービスの導入」といった項目を挙げている。