セキュリティベンダーのForescoutによると、2025年に公開された産業用制御システム(ICS)セキュリティアドバイザリーの数は記録開始以来初めて500を超え、脆弱性の重大度も増加しています。
同セキュリティベンダーは、新しいレポート「ICS Cybersecurity in 2026: Vulnerabilities and the Path Forward」でこの知見を発表しました。
昨年、508件のICSアドバイザリーに渡り合計2,155件のCVEが公開されたとのことです。これは記録開始の2011年の67件のアドバイザリーに渡る103件のCVEから増加しています。
アドバイザリーの平均CVSSスコアは、2010年の6.44から2024年と2025年は8.0以上に上昇しました。
ICS脅威の詳細を読む:CISAが複数のセクターの重大なICS脆弱性に関するアドバイザリーを発行
レポートによると、昨年最も影響を受けたアセットタイプは、順番に以下の通りです:
- Purdue Level 1デバイス:フィールドコントローラー、RTU、PLC、IEDなど
- Purdue Level 3運用システム:MES、PLM、EMSなど
- Purdue Level 2制御システム:DCS、SCADA、BMSなど
- ルーターやスイッチなどの産業用ネットワークインフラ
重大な製造業とエネルギー産業が最も影響を受けた上位2つの産業であり、運輸業は前年から3位上昇して3番目、ヘルスケア業界は4位上昇して4番目となりました。
レポーティングにおけるCISA形式のギャップ
産業技術および運用技術のオペレーターにとってさらに懸念される点は、脅威可視性のギャップが拡大していることです。
Forescoutは、ICS Advisory(ICSA)プログラムが2010年に開始されて以来、CISA/ICS-CERTはこの分野の脆弱性についての「信頼できる情報源」であると指摘しています。しかし、オープンソースのICSアドバイザリープロジェクトによると、増加している脆弱性の数がCISAによって公開されたICSAを持たないとのことです。
「2023年1月10日、CISAはSiemens製品に影響するアドバイザリーの更新の公開を中止し、代わりにSiemensの最新情報をSiemens’ ProductCERTにリダイレクトすることを発表しました」とForescount説明しています。
「これはCISA以外の脆弱性情報の必要性を示しています。しかし、この状況はSiemensに限定されておらず、更新のみに限定されていません。」
実際のところ、ICSアドバイザリープロジェクトによると、昨年の脆弱性のうちCISAによって公開されたICSAを関連付けられたのはわずか22%であり、2024年の58%、2023年の40%から低下しています。
「2025年には134のベンダーによって公開されたICSAに関連付けられていない脆弱性がありました。明らかに、ICSAによって追跡されていないOT/ICSリスクの相当な量があります」とレポートは述べています。
「ICSAなしの脆弱性はCISAからの専用アドバイザリーを持つものと同様に重要です。実際のところ、2025年のICSAなしの脆弱性の61%は高い、または重大な重大度を持っていました。CISAによって追跡される脆弱性と同様に、これらはほとんどが製造業とエネルギーセクターに影響しました。」
行動への呼びかけ
セキュリティベンダーは、OT/ICS環境における脆弱性管理の課題に対処するために、「規制圧力、業界協力、ベンダーの説明責任」の組み合わせを呼びかけました。
「パッチタイムラインの透明性向上、脆弱性管理のための専用リソース、および迅速な対応に対するより強いインセンティブは、セクター全体でのプロセスの加速を支援できる」と結論付けています。
「さらに、反応的な修正ではなく、積極的なセキュリティの文化を育成することは、ベンダーと資産所有者に利益をもたらすでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/industrial-control-system-vulns/
