IoTの普及によってセキュリティ対策が急務となる中、経済産業省と総務省は「IoTセキュリティガイドラインver1.0」を発表しました。IoT機器を開発する企業経営者や担当者はあらかじめ確認して、対策を講じなくてはなりません。ここではIoT用セキュリティ対策の礎となる、ガイドラインについて解説していきましょう。
IoT機器の普及とセキュリティに対する課題
IoTは、「Internet of Things」の略で「モノのインターネット」を指す言葉です。これまでインターネットにつながっていなかった自動車や住宅などの”モノ”がネットワークにつながって通信機能を持つことを指します。
これらの通信機能を備え付けたモノのことを「IoT機器」と言います。IoTがもたらすデータや技術力が今後の少子高齢化や労働力不足、AIの活用などさまざまな社会の変化に役立つとして注目されているのです。
近年では、家電や企業の業務デバイスなどにIoTが広まっており、それと同時にセキュリティ対策が急がれています。もし、IoT機器がサイバー攻撃を受けた場合、さまざまな問題が生じる危険性があります。
IoT機器を狙ったセキュリティリスクについて
IoT製品への攻撃で記憶に新しいのが、2016年に起こったマルウェア「Mirai」によるDDoS攻撃です。このマルウェアに感染した製品が、Webサイトに攻撃を仕掛けてサイトをダウンさせてしまいました。一般家庭の製品が知らぬ間に犯罪の手段として使われてしまったのです。
セキュリティ対策をしていないIoT機器を使用すると、このように知らぬ間に犯罪の手段として使われてしまったり、大事なデータを盗まれてしまったりとさまざまなリスクがあります。また、最近では、監視カメラへの不正アクセスも増加していると言われています。攻撃者は、監視カメラに不正アクセスすれば、映像データの盗難、改ざん、停止といったように、好きなように操作可能です。今後、さらにIoT機器が普及していけば、このようなサイバー攻撃も増えてくると想定されています。そのため、なるべく早く対策を立てることが重要となっているのです。
経済産業省と総務省が示した「IoTセキュリティガイドライン」とは
IoTの急速な普及を踏まえて、経済産業省と総務省が平成28年に「IoTセキュリティガイドラインver1.0」を発表しました。その後、毎年度対策を発表していて、2019年には5G対策を盛り込み、2020年には新型コロナウイルスの対応に合わせたセキュリティ対策も推進しています。
この記事では、それらのセキュリティ対策の礎となる、平成28年に発表されたガイドラインの内容について解説します。
IoTセキュリティガイドラインの目的
IoTが発達したことにより、これまでインターネットに接続していなかった製品が通信するようになり、クラッカーの被害にさらされるようになりました。もしこれらの製品がサイバー攻撃の標的になれば、さまざまな問題が引き起こされるため、経済産業省と総務省が合同でセキュリティに関する規則を策定するに至ったのです。
さらにこうした技術は年を追うごとに進歩しています。そのため、5Gや衛星通信など、新しい技術に対する新たなリスクに対応して、対策案等も追加しています。
このガイドラインでは基本的に「IoTデバイス、システム、サービスの供給者、顧客」を対象にリスクの判定を行い、さまざまな対策を講じるように促しています。
IoTセキュリティガイドラインの主なポイント
ガイドラインでは、IoTに関するセキュリティ対策として「方針、分析、設計、構築・接続、運用・保守」という5つの指針を掲げています。ここでは各内容をポイント別に解説していきましょう。
方針
「方針」ではIoTがどのような特色を持っているのかを考慮しながら、セキュリティ対策の基本となる方向性を定めています。現在、一般家庭にある家電から自動車、ATMまでさまざまな機器がネットワークと通信しています。もし問題が発生した場合は提供している企業にも害が及ぶため、経営者はセキュリティ対策をしっかりと講じなければいけません。
そこで、ここでは「経営者によるIoTセキュリティへの確約」と「内部の不正やインシデント」の2つに備えるという方針を定めています。企業経営に関わる人材はサイバーセキュリティ対策をしっかりと導入して、社内での不正やミスが発生しないように努めなければいけません。そのためにはセキュリティに通じた人材の確保や安全なシステムの構築、不正発生を許さない環境づくりが重要です。
分析
「分析」では、IoT機器やセキュリティのリスクについて認識する必要があると述べています。どのようなリスクがあるのかを分析することで、それに合わせた対策につなげることができます。
例えば、自動運転の車がサイバー攻撃を受けた場合に、どのような問題が起こるのでしょうか?もし自動車の速度がネットワークでつながっていたら、意図しない急加速によって事故が発生してしまうかもしれません。この場合、自動運転によってどのような項目を制御しているのかによってその動作も変わります。
分析の項目では、このような1つひとつの機能を洗い出して対策を行います。その際には、問題の発生によってどこまで影響が波及するのかをしっかりと考慮しなければいけません。また、オープンなIoT機器ではなくてもクラッカーに悪用されたり、紛失や盗難によって不正操作されたりする可能性もあります。いずれもIDやパスワードの設定でセキュリティを強化し、管理者以外が利用できないようにすることが、代表的な対策方法です。
設計
「設計」では、機器が組み合わさることによるセキュリティの脆弱性について留意する必要があることを述べています。
外部インタフェース経由・内包・物理的接触によるリスクに対してそれぞれのIoT機器でセキュリティ対策を施すこと、また個別のIoT機器やシステムでは対応しきれない点については、さらに上位の機器やシステムでセキュリティの担保を行うべきであると指南しています。設計する段階で、セキュリティレベルが低いほかの製品を連携させても、問題が起きないようにしなくてはいけません。また万が一の問題発生に備えて、ほかのデバイスに悪影響が波及しないシステム構築も、必要です。
構築・接続
「構築・接続」は、ネットワークのセキュリティ対策についての項目です。IoT機器やシステムそのもののセキュリティ対策に加えて、それらをつなぐネットワークについても対策し、両面を実現することによってセキュリティが確保されることを指針として挙げています。
利用者側で初期設定がある場合は、パスワード設定を促すことも重要です。また、不正アクセスなどの問題があったときには、ログを確認できるように記録機能を設けなければいけません。もし容易にログの消去や改ざんを許すシステム構築を行っていると、最悪の場合は不正アクセスがあったことすらわからない恐れもあります。必ずログを残して確認できる手段を残しておかなければいけないのです。
加えて、IoT機器のなりすましによる不正な動きを防止するための利用者を識別する認証機能、IoT機器やシステムの相互で鍵や電子証明書を用いるように設定することも忘れてはなりません。
運用・保守
「運用・保守」の項目では、出荷・リリース後のセキュリティ対策に対する指針をまとめています。IoT機器の多様性から、10年以上も利用される可能性があるため、その期間も環境変化や新しい脅威に気をつけながら、安全な状態を維持し続ける必要があると述べています。
基本的な対策としては、新しい脅威や脆弱性が発見された場合にすぐにアップデートを配布することです。また、その際に利用者へもアップデートの重要性を教えるために、どのような問題があったのかを周知しましょう。
アップデートだけでも対策が困難な場合は、サポート期間を終了して新しい機器への買い替えることも視野に入れましょう。そのほか、利用者に正しい利用方法を伝えて、サイバー攻撃のリスクを伝えておくのも1つの手です。利用者による不用意な接続は企業だけでは管理することが難しいため、やはりリスクの周知は重要となります。
IoTの利用拡大において今後検討すべきこと
IoTに関するセキュリティガイドライン自体も、技術革新や時代の変化に柔軟に対応し続ける必要があります。ここでは、今後の検討事項として挙げられている項目について説明します。
分野別のリスク分析
IoTはいろいろな分野で使用されるため、それらの分野によっても求められるセキュリティレベルやリスクが異なります。例えば、医療やインフラシステムと家庭用のシステムでは、それぞれリスクが異なることは明らかです。
そのため、各分野で具体的なIoTの活用シーンを想定し、それに伴って発生するリスク分析まで行わなければなりません。分野の性質や特徴に絞ったセキュリティ対策をすることで、より質の高いセキュリティが実現できるようになるだろうとみられています。
法的責任関係
IoT機器は、商品が提供されるまでに機器のメーカー、システム提供者、サービス提供者そして利用者といったように複雑に関係します。もしサイバー攻撃などによって被害を被った場合に、誰が責任を背負うのかを考えなければいけません。そのため、法整備についても進めていく必要があります。
データ管理の方法
IoTにおいて、個人情報や技術情報といったデータはとても重要なものです。しかし現状、データの保持・管理形態は、サービスによってさまざまに変わってしまいます。適切なデータの管理をしていくためには、サービスごとに具体的な方法を確立していくほかありません。
統合的なセキュリティ対策
経済産業省や総務省が提案するセキュリティ対策は、民間セキュリティ企業との連携によって成り立ちます。そうした民間企業には例えば、ソフトウェアの脆弱性について発信・共有を行っている「情報処理推進機構(IPA)」や、サイバーセキュリティの研究開発を行っている「情報通信研究機構(NICT)」、コンピューターセキュリティのインシデント報告の受付・対応を行っている「JPCERT/CC」、ICT分野のサイバー攻撃に関する取り組みを行っている「Telecom ISAC Japan(ICT ISAC Japan) 」などが挙げられます。
IoT機器のマルウェア感染について、一般利用者への注意喚起等は今後、官民連携の強化を検討するとしています。脅威に対して迅速な対応ができる体制整備は、セキュリティ対策の要となるでしょう。
まとめ
経済産業省と総務省が作成したIoTに関するガイドラインは、IoT機器やシステム、ネットワークのセキュリティ対策として基本となるものです。企業経営者やIT担当者の方は、ガイドラインや更新される情報を随時確認して、常に適切なセキュリティ対策を講じることができるように意識しておくようにしてください。
