OTセキュリティの“本気度”急上昇 企業がやるべきベストプラクティス：セキュリティニュースアラート

フォーティネットの調査は、OTセキュリティが技術課題から経営課題に移行している現状を示した。CISO統括割合が増加し、成熟度向上と攻撃減少が確認されている。ベンダー集約や脅威インテリジェンス活用も進展している。

[後藤大地，有限会社オングス]

　フォーティネットジャパン（以下、Fortinet）は2025年9月2日、「2025年OTサイバーセキュリティに関する現状レポート」を発表した。OTのサイバーセキュリティを対象とした年次グローバル調査に基づくレポートとされ、2025年で7回目となる。

　調査は第三者機関に委託され、日本を含む31の国と地域において、製造やエネルギー、運輸などOTの利用が多い業種に従事する上級職550人以上を対象に実施された。レポートではOTにおける脅威の動向や組織が直面する課題、対応に役立つベストプラクティスなどが整理されている。

CISO主導のOTセキュリティ強化、95％の組織が経営管理下へ

　今回の調査では、OTセキュリティの責任が経営幹部層へと移行している点が取り上げられている。2022年には41％だった経営層の管轄割合が、2025年には95％に達した。中でもCISO（最高情報セキュリティ責任者）やCSO（最高セキュリティ責任者）が担当するケースは16％から52％へと増加しており、OTセキュリティが経営課題として扱われるようになっていることが示されている。今後1年以内にCISOの統括範囲にOTセキュリティを含めると回答した組織は、2025年にかけて60％から80％に拡大する見通しとなっている。

　セキュリティ成熟度に関する自己評価においても改善傾向が見られる。基本的な可視化やセグメンテーションを実施している組織は26％となり、前年の20％から増加した。多くの組織がレベル2（アクセスとプロファイリングが確立されている段階）と自己評価しており、攻撃件数を「被害件数」に特に単純なフィッシング攻撃への対応に成功している。

　ただし、高度な標的型攻撃やOTマルウェアに関しては検知が難しく、成熟度の低い組織では侵害そのものを把握できていない可能性も指摘されている。全体として、影響を受けた組織は依然として半数近くに及ぶが、収益に直結する運用停止は52％から42％へと減少した。

　調査は、基本的なセキュリティ対策や教育の徹底が改善に寄与していることも示している。ビジネスメール侵害の件数は減少傾向にあり、脅威インテリジェンスの活用は前年から49％増加した。OTデバイスベンダーの数を集約する動きが進んでおり、1〜4社のベンダーに絞り込む組織が78％に達している。

　同レポートにおいて、組織が採用すべき具体的なベストプラクティスも提示されている。OT資産の可視化と制御による補完、セグメンテーションの導入、SecOpsやインシデントレスポンス計画へのOT統合、プラットフォームアプローチによる統合的なセキュリティアーキテクチャの採用、OT特化型の脅威インテリジェンス活用が挙げられている。これらは、ITとOT双方のリスクを正しく認識し、効率的に対策を講じるために不可欠とされる。

　今回の調査結果はOTセキュリティが従来の技術的な課題だけでなく、経営層が直接関与すべき領域へと変化している現状を示すものとなっている。経営レベルでの意思決定を伴うリソース配分および実務レベルでの成熟度向上を両立させる取り組みが組織に求められている。