2024年10月15日、KPMGコンサルティングは、企業・組織における制御システムのサイバーセキュリティ(以下、(CS)2)に関する取り組みやインシデントによる被害の状況などについて調査結果をまとめた「(CS)2AI - KPMG制御システムサイバーセキュリティ年次報告書2024」(日本語版)を発表した。
同レポートは、世界各国で約630人以上の業界関係者と、約34,000人の(CS)2AI会員を対象に、「制御システムへの攻撃を防ぐうえでのハードル」「制御システムへの支出と予算」「インシデントによる被害状況」といった項目について調査結果をまとめたもの。制御システムサイバーセキュリティプログラムの成熟度が高い組織(高成熟度組織:レベル4、5)と成熟度の低い組織(低成熟度組織:レベル1、2)を軸に、過去2回(2020年、2021年)の調査結果、地域、役職、エンドユーザーやベンダー別の回答などから比較分析しているという。
詳細な調査結果は以下のとおり。
(CS)2プログラムの成熟度
各レベルに分類された回答者の数には変動がみられ、特にレベル2の回答者が28%から33%に増加したが、レベル3は32%から28%に減少。また、約半数の組織が基本的なプログラムのみを利用している低成熟度組織(レベル1およびレベル2)との回答になった。
自組織の制御システムサイバーセキュリティプログラムについて、最も近いと思われるレベルを教えてください
(画像クリックで拡大)
(CS)2のハードル:高成熟度組織と低成熟度組織の比較
両組織ともに「制御システムサイバーセキュリティに関する専門知識の不足」(低成熟度組織:51%、高成熟度組織:53%)が、最も多い結果になった。一方で、 「管理職のサポート不足」(低成熟度組織:25%、高成熟度組織:16%)や「暗号化をサポートしていないテクノロジー」(低成熟度組織:26%、高成熟度組織:13%)など、高成熟度組織と比較して低成熟度組織の回答割合が高い項目は、高成熟度組織にとって既に克服したハードルだと同社は述べる。
(CS)2への攻撃を防ぐうえでの最大のハードルを教えてください
(画像クリックで拡大)
(CS)2の支出と予算:高成熟度組織と低成熟度組織の比較
高成熟度組織・低成熟度組織ともに、「制御ネットワークのセグメンテーション/マイクロセグメンテーション」のROIが最も高いと考えている。なお、高成熟度組織は、4つの項目で半数を超えており、投資すべき分野を明確にしている傾向が見られるという。
(CS)2の投資対効果が高い分野:高成熟度組織と低成熟度組織の比較
(画像クリックで拡大)
(CS)2アセスメントの実施頻度:高成熟度組織と低成熟度組織の比較
高成熟度組織の半数が、少なくとも四半期に1回アセスメントを実施している一方、低成熟度組織の半数以上は毎年1回以下の実施にとどまっている。また、低成熟度組織では「セキュリティインシデントが発生するごとに実施する」という回答が「毎四半期に実施する」と並び2番目に多い。なお、低成熟度組織の9%がセキュリティアセスメントを実施していないと回答している。
(CS)2アセスメントの実施頻度
(画像クリックで拡大)
昨今の(CS)2攻撃ベクトル:縦断的分析
全世界における各攻撃ベクトルの頻度について分析した結果、過去の調査と比べ、複数の項目で増加したという。具体的には、「クラウド事業者・サービスへの侵害」(2020年:6%、2023年:25%)「組織のウェブサイトへの侵害」(2020年:6%、2023年:17%)「Wi-Fiへの侵害」(2020年:3%、2023年:17%)の回答割合が継続して増加。
過去12ヵ月以内に組織内で発生した(CS)2インシデントで悪用された攻撃ベクトル
(画像クリックで拡大)
【関連記事】
・「原因事象型からオールハザード型のBCPで備えよ」 KPMGコンサルティングが「レジリエンスサーベイ2024」を発表
・KPMG、データドリブン組織の構築に向け優先的に取り組むべき6つの事項を解説
・東京メトロ、脱炭素化と人的資本経営を推進 KPMGコンサルティングが支援
