OTでのセキュリティリスクを甘く見るな 被害額が3000億ドルに達する恐れも：Cybersecurity Dive

Dragosの報告書において、OT環境を混乱させる壊滅的なサイバー攻撃が発生した場合、世界全体での経済的損失は年間3300億ドル近くに達するという。被害額3000億ドルがどのように試算されたか確認しよう。

[David Jones，Cybersecurity Dive]

　産業向けサイバーセキュリティサービスを提供するDragosと、プロフェッショナルサービスを提供するMarsh McLennanが2025年8月12日（現地時間、以下同）に発表した報告書によると（注1）、OT環境を混乱させる壊滅的なサイバー攻撃が発生した場合、世界全体での経済的損失は年間3300億ドル近くに達する可能性があるという。

企業が見落としている懸念点

　報告書によると、壊滅的なサイバー攻撃が発生した場合、事業中断による損失のみで1720億ドルを超える想定だ。これらの推定損失は、250年に一度とされる極めてまれな大規模な事象を想定したもので、世界的なサプライチェーンへの影響やその他の関連する事象も考慮に入れられている。

　Dragosの研究者たちは、通常業務の混乱による影響を含む間接的な損失こそが、多くの企業が見落としている懸念点だと指摘した。

　Dragosでリスクおよびレジリエンスソリューションを担当するマーク・ステイシー氏（バイスプレジデント）は次のように述べた。

　「私たちが見てきたところ、OTの領域でビジネスを営む企業はサイバーセキュリティに関連する予算の大半をITネットワークに投じている。企業は、生産が維持されている限り、OTは正常に動作していると思い込んでしまう」

　「攻撃者の行動による直接的なものであっても、過度に慎重な対応による間接的なものであっても事業中断の潜在的な影響はしばしば過小評価されている」（ステイシー氏）

　比較すると、事業中断に関する請求を含めた世界全体の年間平均リスクは127億ドルであり、今後12カ月間における世界全体の累積的な平均リスクは310億ドルに上る。

　この財務分析は、Marsh McLennanのサイバーリスクインテリジェンスセンターが保有する、過去10年間の侵害事例と保険請求データに基づいている。

　報告書は、近年攻撃が増加しているOTが直面するリスクについて知見を示した。製造業をはじめとする（電力やガス、鉄道、空港などの）重要インフラ業界は、接続技術にますます依存しており、その中にはインターネットに接続されることの多いリモートアクセスツールの利用も含まれている。

　報告書は、特定の防御戦略が全体的なリスクをどのように低減できるかを強調している。リスク低減に最も効果があるとされたOTセキュリティ対策は、包括的なインシデント対応計画の維持や防御力のあるアーキテクチャの採用、ネットワークの可視性を確保するための継続的な監視であった。

　直近数カ月の間に、企業はサプライチェーンやオンライン取引を実施する能力に影響を及ぼしたサイバー攻撃によって深刻な経済的損失を被ったと報告している。

　英国の百貨店チェーンであるMarks＆Spencerは、サイバー犯罪グループ「Scattered Spider」によるソーシャルエンジニアリング攻撃によって4億ドルの損失を被った。Marks＆Spencerがオンライン注文サービスの復旧を確認したのは、2025年4月に発生したサイバー攻撃から数カ月が経過した同年8月11日である。

　Amazonのグループ企業であるスーパーマーケットチェーンのWhole Foodsを含む小売業者向けの卸売業者であるUnited Natural Foodsは2025年7月に、Scattered Spiderによるサイバー攻撃によって少なくとも3億5000万ドルの売上損失が見込まれていると発表した（注2）。

（注1）The 2025 OT Security Financial Risk Report（DRAGOS）
（注2）UNFI expects cyberattack to cost it at least $350 million in sales（Cybersecurity Dive）

原文へのリンク