目次
なぜ今、IoT/OTセキュリティが重要なのか?
結論から言えば、IoT/OT(Operational Technology)領域におけるセキュリティ対策は、事業継続と競争力強化に不可欠な要素だからです。
デジタルトランスフォーメーション(DX)の進展に伴い、これまで独立していた工場やインフラの制御システム(OT)が、インターネット(IT)と接続される機会が急増しました。これにより業務効率が飛躍的に向上した一方、サイバー攻撃の侵入口が拡大し、事業停止に直結する深刻なリスクに晒されています。
独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2024」においても、「ランサムウェアによる被害」が組織編で1位となっており、VPN機器などリモートアクセスの起点からの侵入が後を絶ちません。これは、オフィス環境だけでなく、工場やプラントで稼働するIoT/OT環境も例外ではないことを示しています。
最新の脅威動向:ランサムウェアの巧妙化とOT領域への拡大
セキュリティ企業GuidePoint Securityの「GRIT 2025 Ransomware & Cyber Threat Report」によると、ランサムウェア攻撃は記録的な件数に達し、その手口も巧妙化しています。
2024年の被害者の総数は4,848件に上り、過去最高を記録しました。しかし、その年間成長率はわずか8.72%にとどまり、2022年から2023年の76.8%の成長と比較すると大幅に鈍化しています。これはOperation Cronosのような、主要なランサムウェアグループに対する国際的な法執行機関による取り締まり活動や経済制裁が効果を上げている可能性が挙げられます。
今後の予測としては、ランサムウェアによる被害件数は、以前のような指数関数的な増加ではなく、より着実なペースで増加を続けると予想されています。
特に注目すべきは、重要インフラやOT領域を標的とする攻撃が増加している点です。
製造業が最も頻繁に標的とされており、全ランサムウェアグループの67%が製造業の被害者を公表しています。
具体的には、ICS(産業制御システム)/OT(運用技術)システムを直接狙うマルウェア(例:ウクライナの電力プラントを狙った「FrostyGoop」、米国の燃料管理システムを狙った「IOcontrol」など)が確認されています。またエンジニアリング・ワークステーション(EWS)は、ICS環境への特権的アクセスとインターネットへの接続を両方持つため、ICS攻撃の踏み台として悪用される懸念があります。実際に、ICSインシデントの約2割がエンジニアリング・ワークステーションで発生したとの報告があります。
国の観点から見ると、米国が全攻撃の51.53%を占め、引き続き最も被害を受けています。ブラジルやインドといった新興経済国の組織は、経験の浅い攻撃グループの標的になりやすい傾向が見られ、日本国内からの報告はごく少数です。
このような脅威は、自社だけでなく、セキュリティ対策が手薄な取引先や子会社を経由して侵入する「サプライチェーン攻撃」の形をとることもあり、自社だけの対策では不十分なケースが増えています。
【3つの具体策】価値向上とリスク対策、今すぐできること
では、具体的に何をすれば良いのでしょうか。ここでは「製品の価値を高める/安全な製品を選ぶ」視点と、「最新の脅威から自社を守る」視点から、3つの具体的なアクションを紹介します。
1. 最新の攻撃手口を知り、守りを固める
近年、巧妙化するサイバー攻撃から身を守るには、敵の手口を知ることが不可欠です。
先ほどお伝えしたように、攻撃者は保守作業などで使われるエンジニアリング・ワークステーション(EWS)を侵入の足がかりにすることがあります。
自社のシステムの監視体制を見直すことが、被害を未然に防ぐ上で極めて重要です。
2. 政府主導で2025年3月から運用開始!「JC-STAR」で製品の信頼性をアピールする
自社製品の安全性をどうアピールすれば良いか、あるいはどの製品が安全なのか。その答えの1つとなるのが、2025年3月から開始されている「IoT製品に対するセキュリティ適合性評価制度(JC-STAR)」です。
この制度は、経済産業省が「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」を開催し、政府主導で構築が進められてきたものであり、IPA(独立行政法人情報処理推進機構)がスキームオーナーを務めます。
IoT製品ベンダーがセキュリティ対策状況をアピールしにくい、また調達者・利用者が適切な対策が施されているか判断しにくいという課題を解決するために、共通の物差しで製品のセキュリティ機能を評価・可視化することを目的としています。
- 製品ベンダーのメリット: ラベルを取得することで、自社製品のセキュリティレベルを客観的に証明できます。これにより、顧客からの信頼を獲得し、製品の付加価値を高めることができます。
- 導入・調達者のメリット: QRコード付きのラベルを見るだけで、その製品のセキュリティ対策状況が分かり、安全な製品を容易に選定できます。政府機関などでは、このラベル付き製品の調達が推奨される動きもあります。(出典: 情報処理推進機構)
本制度は任意制度ですが、調達者・利用者がラベル付き製品を優先的に選択するようになれば、ラベルを取得していない製品は市場で選ばれにくくなるため、IoT製品ベンダーは積極的にラベルを取得するインセンティブが生まれます。
3.先進技術で、IoTセキュリティを根本から強化する
設定が複雑、管理が大変といったIoTセキュリティの課題を、技術で解決する動きも進んでいます。その一つが、NTTコミュニケーションズが実証に成功した「IoT SAFE」という技術です。
これは、通信に必要なSIMカード内部で、セキュリティの鍵となる情報を自動で生成・管理する仕組みです。これにより、利用者はIoT機器の電源を入れるだけで、安全な通信環境が自動で構築されます。複雑な初期設定が不要になるため、担当者の負担を大幅に減らしながら、人為的な設定ミスによるリスクも防ぐことができます。
このような新しい技術動向を把握し、自社の環境に取り入れていくことも、長期的な安全を確保する上で有効な手段です。
まとめ:セキュリティを経営課題として捉え、競争優位を築く
IoTとOTのセキュリティ対策は、もはや情報システム部門だけの課題ではありません。サイバーリスクを経営課題として捉え、製品開発の初期段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の発想が不可欠です。
最新の脅威動向を常に把握し、自社の環境や製品に潜むリスクを正しく評価すること。そして、それを価値に変え、顧客にアピールしていくこと。このサイクルを確立することが、これからのIoT時代を勝ち抜くための重要な鍵となるでしょう。
また日本から世界へ視野を広げると、EUが最低限のサイバーセキュリティ基準を義務付ける画期的な規制として「サイバーレジリエンス法(CRA)」を発表しました。2024年12月に施行され、法律で導入される主要な義務は2027年12月11日から適用されます。
世界的にも、IoT関連のセキュリティ対策は今後も強化され、日本でも対策が講じられることでしょう。
参考・出典
本記事は、以下の資料を基に作成しました。
- GuidePoint Security:GRIT_2025_Ransomware_and_Cyber_Threat_Report(アクセス日:2025年07月24日):
https://www.guidepointsecurity.com/wp-content/uploads/2021/07/GRIT_2025_Ransomware_and_Cyber_Threat_Report.pdf - 一般社団法人JPCERTコーディネーションセンター(https://www.jpcert.or.jp/) :制御システム・セキュリティの現在と展望~この1年間を振り返って~ 2025年版(アクセス日:2025年07月24日):
https://www.jpcert.or.jp/present/2025/ICSSConf2025_01_JPCERTCC.pdf - 独立行政法人 情報処理推進機構(IPA)(https://www.ipa.go.jp/) :IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します(アクセス日:2025年07月24日):
https://www.ipa.go.jp/pressrelease/2024/press20240930.html - 独立行政法人 情報処理推進機構(IPA)(https://www.ipa.go.jp/) :「セキュリティラベリング制度(JC-STAR)」★1適合ラベルの交付を開始(アクセス日:2025年07月24日):
https://www.ipa.go.jp/pressrelease/2025/press20250521.html - NTTドコモビジネス(https://www.ntt.com/index.html) :SIMアプレットを活用し、手間なくIoT機器のセキュリティを高める実証に成功(アクセス日:2025年07月24日):
https://www.ntt.com/about-us/press-releases/news/article/2025/0625.html
AI利用について
本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。
