産業組織を狙うデジタル攻撃は増加の一途をたどっています。エネルギー会社や製造工場などを標的とした攻撃の多くは成功しています。たとえば、2019年の春の終わりには、航空機部品メーカーのASCOがランサムウェア攻撃を受け、世界各地で一時的な業務停止に追い込まれました。
その約1か月後、ヨハネスブルグ最大の電力供給会社の1つであるCity Powerもランサムウェア攻撃を受け、一部の住民が停電の被害を受けました。この事故の数ヶ月前には、インド原子力発電公社が、クダンクラム原子力発電所のネットワーク上でランサムウェアの感染が確認されています。
これらの攻撃は、「デジタル脅威から身を守るために、産業組織はどのような対策を講じているか?」という重要な疑問を提起しています。
その答えを得るために、Tripwireは、エネルギー、製造、化学分野の産業用制御システム(ICS)のセキュリティを担当する263人のプロフェッショナルを対象にした調査をDimensional Research社に依頼しました。これらのプロフェッショナルの回答から、セキュリティに対する企業側の準備態勢が、ICSセキュリティ上の脅威に対する懸念にどの程度対応できているかが明らかになります。また、今後産業組織が改善すべきセキュリティ対策の領域についても知ることができるでしょう。
ICSセキュリティ専門家の間で広がる懸念
ICSセキュリティのプロフェッショナルの大半(88%)は、組織がデジタル攻撃の犠牲になることを懸念していると答えました。懸念していると答えた割合は、自動車および運輸セクターで82%と、他の業界よりやや低い結果となりました。エネルギー、オイル、ガスセクターでは、97%となっています。
この調査で、懸念事項を明記するよう求められた回答者は、「オペレーションの停止やダウンタイムの可能性」を少なからず心配しているとコメントしています。また、組織に対する攻撃が成功すると、さらに深刻な問題が波及する可能性があることも懸念しています。さらに、3分の2が、爆発などの壊滅的なインシデントも起こり得るとコメントしています。ICSセキュリティの専門家の約半数(48%)が、企業側が考えを一新しないかぎり、攻撃の成功は避けられないと考えていることを考慮すると、事態は深刻です。
ICSセキュリティへの投資の欠如
一部の組織にとって、ICSのセキュリティ確保への道は前途遼遠のようです。ICSセキュリティのプロフェッショナルのうち、「デジタル攻撃が安全性、生産性、オペレーションの質に悪影響を与える前に対処する能力を企業側が十分に備えている」と確信しているのは、わずか12%でした。この数字は、上記でデジタル攻撃について懸念していると答えた回答者の割合(88%)と合致します。
この懸念の理由の1つは、セキュリティに対する投資が不十分であることです。回答者の半数は、ICSセキュリティに対する自分の企業の投資が十分ではないと答えています。Dimensional Researchの調査で、ICSセキュリティの専門家の23%が、「企業側は過去2年の間、ICSシステムの保護のための投資を行っていない」と訴えていることは、さらに憂慮すべき状況です。それとほぼ同じ割合(22%)の回答者は、彼らが知っている利用可能な技術が組織のセキュリティニーズに対応できていないとコメントしています。
言うまでもなく、セキュリティ投資が不十分であるために、デジタル脅威を防御する産業組織の能力が弱体化しています。このことは、多くの重要な領域においてセキュリティの基本を適用する組織の能力にすら影響を与えています。たとえば、
- 「組織が資産インベントリを使用して、運用技術(OT)資産の70%以上を追跡していると」回答したICSセキュリティのプロは半分強(52%)程度です。
- 約3分の1(31%)は、「OTデバイスに関する通常のベースラインを設定していない」と答えています。
- 39%は、組織が「産業資産に対してログ管理ソリューションを使用していない」ことを認めています。
- 84%は、「産業環境に新しいセキュリティツールを適用することにより、プロセスや運用の中断が発生するのではないかと懸念している」と答えました。
産業組織が進むべき方向
産業組織は、セキュリティの基本機能に投資することにより、安全性の欠如に対処し、ICSシステムを守ることができます。このプロセスは、組織の産業環境に対する可視性を確保することから始まります。Tripwireの研究者が調査で明らかにしているように、
OTネットワーク上のすべての資産を可視化することは、サイバーリスクが産業環境のどこに存在するかを理解するうえで不可欠です。組織は、どのようなデバイスが接続されているか、それらは正しく構成されているか、脆弱性はないか、適切に動作しているかを把握しておく必要があります。
その結果に基づいて、セキュリティ構成管理や脆弱性管理、ログ管理などのセキュリティの基本機能を適用する取り組みにおいて、ITチームとOTチームの協力レベルを高めることに目を向けることができるようになります。もちろん、企業がこのような問題に社内で対処することもできるでしょう。それでも、各顧客の産業用デバイスのセキュリティ対策を合理的に遂行する能力を持つ高度なソリューションプロバイダーに協力を求めるのも、得策かもしれません。
Tripwireのソリューションで組織のICSセキュリティプログラムを構築する方法についてご一読ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
