KPMGコンサルティングとEMCジャパンのRSA事業本部は2019年10月3日、企業のサイバーセキュリティ対策に関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2019」を発表した。今回新たに制御システムのセキュリティについて調査した。制御システムのセキュリティ対策は組織全体のセキュリティ対策と比べて遅れていることが分かった。
拡大画像表示
サイバーセキュリティサーベイ2019では、企業におけるサイバーセキュリティ対策の実態を調査した(写真1)。国内の上場企業および売上高400億円以上の未上場企業を対象に、2019年5月30日~6月25日および8月21日~9月6日にかけて実施した。郵送およびWebによるアンケートを実施し、発送した5816件のうち313件(回収率5.3%)の回答を得た。
調査では、課題を明確化し、それぞれのテーマについて状況が分かるようにアンケートを実施した。調べたいテーマとして、(1)「制御システムセキュリティ」、(2)「投資と対策の継続」、(3)「インシデント対応態勢(CSIRT)」の3つを設定した。
制御システムのセキュリティ対策の実施率は15%未満
(1)の制御システムのセキュリティは、今回新たに設定したテーマである。制御システムを含む事業に「取り組んでいる」企業は31.9%、「取り組んでいない」企業は58.1%、「分からない」が9.3%、「無回答」が0.6%だった。
制御システムに対してサイバーセキュリティ対策の方針を策定しているかどうかを調べた。組織全体のサイバーセキュリティ対策については82.4%の企業が対策方針を整備している一方で、制御システムは40%に留まった。60%の企業は対策方針を策定しておらず、整備が十分ではない。
制御システムにおけるセキュリティ対策の実施状況も聞いた(図1)。対策が十分にできていると回答する企業は15%に満たない傾向が見て取れる。特に、「脆弱性管理」と「統合ログ管理」のようなセキュリティ運用面での対策が遅れている。対策が「十分にできている」と回答した企業は、「脆弱性管理」で9.0%、「統合ログ管理」で4.0%である。
(2)の投資と対策の継続についてのアンケートでは、情報セキュリティ人材が不足しているという認識だった。サイバーセキュリティ対策組織の陣容(人数)の規模の適切さを聞いたところ、「大いに不足」(39.4%)と「やや不足」(46.2%)を合わせて85.6%の企業が人手不足と回答した。
(3)のインシデント対応態勢(CSIRT)についてのアンケートでは、回答企業の41.9%が過去にサイバーセキュリティインシデントの発生を経験している。このうち59.5%は初動対応を「数時間程度」で行い、67.9%が復旧対応を「1週間程度」で行っている。CSIRTを「設置済み」の企業は25.2%で、このうち65.0%はCISRTが少なからず機能していると回答している。
●Next:「サイバー攻撃を受けた認識がない」ことの危険
会員登録(無料)が必要です
- 1
- 2
- 次へ >