OTセキュリティをCレベル幹部が担う割合が95%に(2022年の41%から増加)、特にCISO/ CSOが担当する組織が過半数(52%)に(2022年の16%から増加)
[画像1]https://digitalpr.jp/simg/1708/117171/200_283_2025090213422368b675af2cc9d.png
サイバーセキュリティの世界的リーダーで、ネットワークとセキュリティの融合を牽引するフォーティネット(Fortinet®)は、年次グローバル調査の結果を分析し「2025年OTサイバーセキュリティに関する現状レポート」を発表しました。本報告書は、オペレーショナルテクノロジー(OT)のサイバーセキュリティの現状を示すものであり、IT / OTで拡大し続ける脅威に対処する上で、組織が今後さらに取り組むべき課題を浮き彫りにしています。本調査は、毎年フォーティネットの委託により第三者機関が世界規模で実施しているものであり、7年目となる今年は、日本を含む31の国と地域のOTヘビーユーザーである様々な業種に従事するOTプロフェッショナル上級職550名以上を対象に実施されました。本レポートでは、OT組織に影響を与えるトレンドと洞察に加え、ITおよびOTセキュリティチームがサイバーフィジカルシステムのセキュリティを向上させるためのベストプラクティスも紹介しています。
https://www.fortinet.com/jp/resources/reports/state-ot-cybersecurity
本年のグローバル調査で明らかになったOTセキュリティに関する主な動向は、以下の通りです。
OTセキュリティの統括責任者が経営幹部に移行
サイバーセキュリティをCISOなどの経営幹部の職責に移行することを検討する企業が、世界的に大きく増加しています。説明責任が経営幹部へと移行し続ける中で、OTセキュリティが取締役会レベルで重要な課題として浮上しています。現在、OTサイバーセキュリティの意思決定に影響を与える最も重要な社内の責任者は、CISOまたはCSOである割合が非常に高くなっています。過半数(52%)の組織がOTの責任をCISO / CSOが担っていると回答しており、2022年の16%から大きく増加しました。また、Cレベル幹部全体で見ると、この割合は95%に急増しています。さらに、今後1年以内にOTサイバーセキュリティをCISOの管轄下に置くことを計画している組織は、2025年にかけて60%から80%へと増加しています。
[画像2]https://digitalpr.jp/simg/1708/117171/700_230_2025090213444968b6764169649.png
OTサイバーセキュリティの成熟度は侵入の影響に関係
回答者の自己評価では、2025年のOTセキュリティ成熟度は大きく高まっています。基本的なレベル1では、26%の組織が可視性の確立とセグメンテーションの実施を報告しており、前年の20%から増加しています。自社のセキュリティ成熟度については、レベル2(アクセスとプロファイリングが確立されている段階)に位置づけた組織が最も多くなっています。レポートでは、成熟度と攻撃の間に逆相関が見られることも明らかになっています。レベル0~4で相対的に成熟度が高いと自己評価している組織では、攻撃が相対的に少なくなっており、またフィッシングなどの洗練度の低い手口に効果的に対処しています。ただし、高度な標的型攻撃(APT)やOTマルウェアといった手口は検知が難しく、成熟度の低い組織では、こうした攻撃を検知できるセキュリティソリューションが未導入で、侵害の事実を確認できていない可能性がある点には留意が必要です。全体として、半数近くの組織が影響を受けた一方で、侵入の影響は減少しつつあります。特に、収益に影響する運用停止の割合は52%から42%に減少しました。
[画像3]https://digitalpr.jp/simg/1708/117171/700_248_2025090213460368b6768b6a1cc.png
[画像4]https://digitalpr.jp/simg/1708/117171/700_303_2025090213471168b676cf0e84e.png
サイバーセキュリティのベストプラクティス採用が、状況改善に貢献
成熟度が侵入の影響に関係していることに加えて、基本的なサイバーセキュリティ対策やトレーニング / 啓発などのベストプラクティスの採用が効果を上げていることも示されており、ビジネスメール侵害の大幅な減少を含む具体的な改善が見られます。その他のベストプラクティスとして、脅威インテリジェンスの活用が2024年から49%急増しているほか、OTデバイスベンダーの数が大幅に減少しており、業界の成熟と運用効率の向上が示されています。また、OTベンダーを1~4社しか利用していない組織が78%に増加しており、その多くがベストプラクティスの一環としてベンダーを絞り込んでいると見られます。サイバーセキュリティベンダーの集約は成熟の兆候でもあり、フォーティネットのOTセキュリティプラットフォームをご利用のお客様の経験とも一致しています。リモートOTサイトでのネットワーキングとセキュリティの統合により、可視性が向上し、サイバーリスクが軽減されることで、フラットネットワークと比較してサイバーインシデントが93%減少しています。また、簡素化されたフォーティネットのソリューションによってトリアージとセットアップが削減されることで、パフォーマンスが7倍向上しました ※1。
※1フォーティネットOTセキュリティプラットフォーム成功事例(2024年11月5日)
[画像5]https://digitalpr.jp/simg/1708/117171/350_332_2025090213485768b677391d862.png
ベストプラクティス
フォーティネットのグローバル調査「2025年OTサイバーセキュリティに関する現状レポート」は、組織のセキュリティ態勢を強化するための実用的なインサイトを提示しています。以下のベストプラクティスを採用することで、OTセキュリティに関する諸課題に、より容易に対処できるようになります。
OT資産を可視化し、制御で補完:組織は、自社のOTネットワーク上に存在するすべての機器やシステムを把握・理解できなければなりません。可視性が確立されると、次に、重要なデバイスや脆弱性が存在する可能性のあるデバイスを保護する必要があります。そのためには、影響を受けやすいOTデバイス用に設計された補完的な防御策が必要になります。プロトコルを意識したネットワークポリシー、システム間の通信分析、エンドポイントの監視などの機能により、脆弱な資産の侵害を検知して防止できます。
セグメンテーションを導入:侵入を減らすためには、すべてのアクセスポイントで強力なネットワークポリシー制御を使用する強化されたOT環境が必要です。このような防御性が高いOTアーキテクチャは、ネットワークのゾーンまたはセグメントの作成から始まります。ISA/IEC 62443などの標準でも、OTとITネットワーク間、およびOTシステム間の制御を強化するためにセグメンテーションを明確に求めています。また、チームはソリューション管理の全体的な複雑さを評価し、一元管理による統合型アプローチまたはプラットフォームアプローチを検討する必要があります。
OTをセキュリティオペレーション(SecOps)とインシデントレスポンス計画に統合:組織におけるIT / OTのSecOpsは成熟の途上にあります。SecOpsやインシデントレスポンス計画においては、OTに固有の留意点があり、それは主として、OT / ITの環境にはそれぞれに固有のデバイスタイプが存在し、OT侵害がクリティカルなオペレーションに与える影響が広範であるためです。この方向への重要なステップは、OT環境を自社のプレイブックに組み込むことです。このような高度な備えにより、ITチーム、OTチーム、製造チームのコラボレーションが推進され、サイバーリスクと生産リスクを正しく評価できるようになります。また、CISOがそれらのリスクを正しく認識して優先度を判断し、予算や人員を配分できるようになります。
プラットフォームアプローチをセキュリティアーキテクチャ全体に採用することを検討:急速に進化するOTの脅威と拡大する攻撃対象領域に対処するため、多くの組織が、異なるベンダーの多様なセキュリティソリューションを導入しています。結果として、セキュリティアーキテクチャがいっそう複雑化し、可視性が阻害されるだけでなく、限られたリソースであるセキュリティチームが大きな負担を強いられることになります。プラットフォームベースのセキュリティアプローチは、ベンダーの統合とアーキテクチャの簡素化に役立ちます。ITネットワークとOT環境の両方に特化した機能を備えた堅牢なセキュリティプラットフォームは、ソリューションの統合を可能にすることでセキュリティ効果を向上させ、一元管理を可能にすることで管理の効率化を実現します。統合により、脅威に対する自動レスポンスの基盤も提供されます。
OTに特化した脅威インテリジェンスとセキュリティサービスを導入:OTセキュリティは、差し迫ったリスクのタイムリーな認識と正確な分析に基づくインテリジェンスが不可欠です。プラットフォームベースのセキュリティアーキテクチャは、脅威インテリジェンスを適用することで、最新の脅威、攻撃タイプ、リスクからのほぼリアルタイムの保護を可能にするものでなければなりません。脅威インテリジェンスとコンテンツのソースのフィードやサービスに強固でOTに特化した情報が含まれていることを確認する必要があります。
フォーティネットの製品およびソリューション担当シニアバイスプレジデントのNirav Shahは、次のように述べています。
「7年目となるフォーティネットの『OTサイバーセキュリティに関する現状レポート』からは、組織がOTセキュリティに一層真剣に取り組んでいる状況が伺えます。この傾向は、OTセキュリティの成熟度の向上を自己評価する組織の増加とともに、OTリスクに対する責任をCレベル幹部に移行する組織が顕著に増加していることにも反映されています。こうした傾向と並行して、OTセキュリティに優先的に取り組んでいる組織では、侵入による影響が減少していることが確認されています。Cレベル幹部以下全員が、影響を受けやすいOTシステムの保護に取り組み、重要な業務の安全を確保するために必要なリソースを割り当てる必要があります」
本調査およびレポートのメソドロジ
フォーティネットの「2025年OTサイバーセキュリティに関する現状レポート」は、定評ある第三者調査会社がOTプロフェッショナル550人以上を対象に世界規模で実施した調査で得られた包括的なデータに基づくものです。
調査対象者は、オーストラリア、ニュージーランド、アルゼンチン、ブラジル、カナダ、中国、コロンビア、デンマーク、エジプト、フランス、ドイツ、香港、インド、インドネシア、イスラエル、イタリア、日本、マレーシア、メキシコ、ノルウェー、フィリピン、ポーランド、ポルトガル、シンガポール、南アフリカ、韓国、スペイン、台湾、タイ、英国、米国など、世界中の異なる場所から抽出されました。
調査対象者は、製造、運輸 / 物流、医療 / 製薬、石油 / ガス / 精製、エネルギー / 公益事業、化学 / 石油化学、上下水道などのOTのヘビーユーザーである業種に勤務しています。
調査対象者のほとんどが、役職に相違はあるものの、サイバーセキュリティ購入の意思決定に深く関与しています。調査対象者の多くは、所属する組織でOTに対して責任を負っているか、製造またはプラントオペレーションに対する報告責任を負っているか、あるいはその両方に責任を負っています。
関連資料
● 「2025年OTサイバーセキュリティに関する現状レポート」の全文(日本語版)
https://www.fortinet.com/jp/resources/reports/state-ot-cybersecurity
● フォーティネットジャパンでは、9月4日、5日の2日間、OTセキュリティの重要性を広く発信し、具体的な対策や実践知を共有する場として、『Secure OT Summit 2025』(オンライン)を開催します。参加のお申し込みはこちらからhttps://fortinet.oatnd.com/secure-ot-summit-2025-regi
https://secure-ot-summit.com/
● フォーティネットのOTセキュリティソリューションの詳細
https://www.fortinet.com/jp/solutions/ot-security
● フォーティネット:信頼とイノベーションの融合で、当社のイノベーション、協力パートナー、製品セキュリティプロセス、実証済みのサイバーセキュリティを必要とされるあらゆる場所に提供するエンタープライズグレード製品の詳細をご覧ください。
https://www.fortinet.com/jp/trust
● フォーティネット製品のセキュリティと完全性に対するコミットメントで、当社の製品開発と脆弱性の責任ある開示のアプローチとポリシーの詳細をご覧ください。
https://www.fortinet.com/content/dam/fortinet/assets/flyer/ja_jp/flyer-fortinet-commitment-to-product-security-and-integrity.pdf
● フォーティネットのお客様による組織の保護の事例
https://www.fortinet.com/jp/customers
● フォーティネットのX、LinkedIn、Facebook、Instagramをフォローし、フォーティネットのブログまたはYouTubeチャネルに登録してください。
X:https://x.com/fortinetjapan
LinkedIn:https://www.linkedin.com/company/fortinet/
Facebook:https://www.facebook.com/FortinetJapan/
Instagram:https://www.instagram.com/fortinet/
ブログ:https://www.fortinet.com/jp/blog
YouTube:https://www.youtube.com/@FortinetJapan
##
※本プレスリリースは、米Fortinet, Inc.が2025年7月9日(現地時間)に発表したプレスリリースの抄訳です。
原文:https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2025/fortinet-report-ot-cybersecurity-risk-elevates-within-executive-leadership-ranks
※この日本語版はフォーティネットのニュースルームでもご覧いただけます。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2025/fortinet-report-ot-cybersecurity-risk-elevates-within-executive-leadership-ranks
■フォーティネットについて
フォーティネットは、ネットワーク/セキュリティの融合とサイバーセキュリティの進化を、牽引し続けている企業です。あらゆる場所で、人・デバイス・データの安全を確保するというミッションのもと、お客様が必要とするすべての場所にサイバーセキュリティを提供しています。今日では、エンタープライズでの利用に対応した50を超える製品群で構成される業界最大規模の統合ポートフォリオを実現し、業界最多の導入実績、特許数、認証数に支えられ、50万を超えるお客様からの信頼を獲得しています。「Fortinet Training Institute」では、誰もがサイバーセキュリティのトレーニングと新たなキャリアの機会を得られるよう、業界最大規模かつ最も広範なトレーニングプログラムを提供しています。また、各国のCERT(Computer Emergency Response Teams)や政府機関、学界などとの緊密な官民連携は、世界のサイバーレジリエンスを強化するための基本的な取り組みです。さらに、脅威分析とセキュリティ研究を行う組織「FortiGuard Labs」を運営し、自社開発した最先端の機械学習やAIテクノロジーを活用することで、タイムリーかつ一貫したトップクラスの保護と共に、実用的な脅威インテリジェンスをお客様に提供しています。詳しくは当社ホームページ、フォーティネットブログ、FortiGuard Labsホームページをご参照ください。
Fortinet Training Institute:https://www.fortinet.com/jp/nse-training
緊密な官民連携:https://www.fortinet.com/jp/trust
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs
当社ホームページ:https://www.fortinet.com/jp
フォーティネットブログ:https://www.fortinet.com/jp/blog
Copyright© 2025 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc. とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAIOps、FortiAgent、FortiAntenna、FortiAP、FortiAPCam、FortiAuthenticator、FortiCache、FortiCall、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCentral、FortiCNP、FortiConnect、FortiController、FortiConverter、FortiCSPM、FortiCWP、FortiDAST、FortiDB、FortiDDoS、FortiDeceptor、FortiDeploy、FortiDevSec、FortiDLP、FortiEdge、FortiEDR、FortiExplorer、FortiExtender、FortiFirewall、FortiFlex、FortiFone、FortiGSLB、FortiGuest、FortiHypervisor、FortiInsight、FortiIsolator、FortiLAN、FortiLink、FortiMonitor、FortiNAC、FortiNDR、FortiPAM、FortiPenTest、FortiPhish、FortiPoint、FortiPolicy、FortiPortal、FortiPresence、FortiProxy、FortiRecon、FortiRecorder、FortiSASE、FortiScanner、FortiSDNConnector、FortiSIEM、FortiSMS、FortiSOAR、FortiSRA、FortiStack、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLM、FortiXDR、Lacework FortiCNAPPなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。
関連リンク
最新プレスリリース一覧
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases.html
