IoTを用いたシステムやサービスを構築する場合、一般的なシステムのセキュリティ対策だけでなく、利用するIoT機器に即した対策を行わなければ予期しない損害につながる場合もあります。ここではIoT機器を利用するシステム・サービスではどのようなセキュリティ対策が必要となるか紹介していきます。
IoT技術の急速な普及とセキュリティ問題
「モノのインターネット」と呼ばれるIoTは、その利用範囲をさまざまな分野へと広げています。日常生活の中でも心拍や移動距離を基に、運動量を測定するスマートウォッチ。電気ポットの使用状況を基に、遠隔地に住む高齢な親類の状況を知らせるサービス。既にこうしたさまざまな活用方法が実用化されています。
しかし、インターネットに接続されているこれらの機器は、常にセキュリティリスクを抱えています。インターネットに接続されているWebカメラがハッキングされ、国内の電力会社の監視カメラに不正アクセスがあった事例や、世界中のどこかにあるWebカメラの映像が第三者に閲覧可能な状態で公開されているサイトなどもあります。
特定の目的に絞られた機能だけを提供するIoT機器ですが、セキュリティはIoT機器に適した方法で、対策を十分に考えておく必要があります。
IoT機器を狙ったサイバー攻撃の増加
サイバーセキュリティに対して必要な方策の準備を目的としている、総務省のサイバーフォースタスクフォースでは、2020年7月に「IoT・5Gセキュリティ総合対策2020」を提出しました。その中でWebカメラやルーターといったIoT機器に対するサイバー攻撃は3年間で2.6倍に増えており、2016年は1,281億回だったのに対して2019年は3,279億回に増加したとされています。
また同レポートの中では、「今後さまざまな産業でIoT機器の利用が拡大すると予想されるが、IoT機器の対策を中心とするだけでは十分ではない恐れがある」とも提言されています。
セキュリティ対策における基本的な考え方
先ほども触れた通り、IoT機器はインターネットへの接続が必須です。例えば、「温度や湿度を測定する」「プロパンガスの利用料を計測する」などの一般的な機能を使用するにも、インターネット接続をせねばなりません。
こうした機器は、24時間365日オンラインで稼働することを前提としており、それだけハッカーから狙われる機会も多いと言えるでしょう。
またIoT機器は、AndroidやiOS、Linuxなど、既存の基本ソフト(OS)をベースとして設計されています。これは、ハッカーが蓄積してきた資産やノウハウを応用しやすい環境であると言えます。
トレンドマイクロ株式会社によれば、2017年1月から9月にかけ全世界で約1万2,700台の家庭内インターネットデバイスで仮想通貨のマイニング(採掘)による通信が確認され、そのうち約6%がIoTデバイスから発信されていました。このことから「Webカメラなどが仮想通貨の採掘として悪用され、サイバー犯罪者の資金源となっている可能性があった」と推測できるでしょう。
このような側面からも、IoT機器はサイバー犯罪のターゲットになりやすい傾向があるため適切なセキュリティ対策を施す必要があります。IoT機器として動作する医療機器や自動車などに不正アクセスを許した場合、人命に関わる被害も発生するでしょう。また、プリンター複合機から情報が抜き取られ個人情報などが流出する、知らない間にサイバー犯罪に加担してしまうなど、そのほか多くのリスクが想定されるでしょう。
これらのリスクを洗い出し、セキュリティの不備によりどのような影響を与える可能性があるかをあらかじめ考えておくことが重要です。
IoTのセキュリティ対策における具体的なポイント
前述したようにIoT機器は機能を停止することなく提供するという特性を持った機器であることから、一般的なPCとは異なった視点でセキュリティ対策を考える必要があります。
第三者の不正侵入を防ぐ設定に変更する
IoT機器はインターネットに接続されている以上、常に第三者に侵入される危険性が伴います。こうしたリスクを軽減するためにも、初期設定のパスワードを使い続けてはいけません。
また、ウェルノウンポートと呼ばれる、0番から1023番までの一般的に用途が決められているポート番号に対して適切なセキュリティ対応を行うことが大切です。そして使用しない不要なポートは利用できないようにするといった対応が必要です。
不要なインターネット接続経路がないか確認する
不要なインターネットの接続経路がないかを確認するためには、まず、特定のIoT機器が「どのような通信経路で通信を行っているのか」を把握する必要があります。
もし、運用に不必要な接続経路が確認された場合は、通信経路を遮断してください。特に、使われなくなった機器がインターネットに接続し続けている状態はセキュリティの観点から非常に危険です。
デバイスを最新状態にアップデートする
どのような機器にもシステム上の脆弱性は存在します。IoT機器についても最新のファームウェアが提供されていないかを定期的に確認し、提供され次第アップデートする運用体制を準備しておくべきです。
ただし、ファームウェア自体が改ざんされている可能性もあります。ファームウェアの入手元の確認を徹底し、入手したファームウェアに不正なプログラムが含まれていないか確認しなくてはなりません。
総務省が定めた「IoTセキュリティガイドライン」のポイント
総務省と経済産業省による「IoT推進コンソーシアム IoTセキュリティワーキンググループ」は2016年7月に「IoTセキュリティガイドラインver1.0」を公開しました。このガイドラインは2020年には530億個のIoT機器がネットワークサービスに活用されると予測されていることを踏まえ、公開されました。
ここからは、このガイドラインを見ていきましょう。基本的には、「IoT特有の性質とリスクを考慮したセキュリティ対策を行う必要を自覚すること」「各役割や各立場に応じて、適切なセキュリティ対策の検討を行うこと」、へ向けたガイドラインです。
方針
当ガイドラインの方針では、IoT機器のセキュリティ対策は機器やシステムを提供する側だけでなく、利用する企業にとっても存続に関わる課題として、企業の経営者が認識しておくべき要点を示しています。
経営者がIoTセキュリティにコミットする
IoTは複数の機器やシステムにまたがって運用されているため、特定のIoT機器が攻撃を受けた場合、そのIoT機器に限らず、全体のIoTシステムやサービスに影響する恐れがあります。
仮にサイバー攻撃により企業に損失が出た場合、経営者は経営責任を問われることになります。このような事態を避けるためにも「サイバーセキュリティ経営ガイドライン」を参考にIoTセキュリティの基本方針を策定し、社員に周知を徹底する必要があります。また、継続的に状況を把握し、柔軟に対策を変更できるような体制を整えておくことも重要です。
内部不正やミスに備える
IoT機器が強固なセキュリティに守られていたとしても内部不正や不本意なミスによりセキュリティを破られる可能性があります。このような不正やミスを防止すると共に、ミスが起こることを想定した上での対策を施す必要があります。
分析
分析の指針では、IoT機器を使用するリスクの認識として取り組むべき点が示されています。
万が一、IoT機器が誤動作を起こしても、利用するユーザーの身体や生命、財産を守るための機能が備えられていなければなりません。
例えば、医療機器など生命に関わる機器がIoT化していた場合を考えましょう。もちろん、情報が漏えいしないように防護する必要があります。しかしもし、インターネットを介する機能が不調を来したとしても、「身体や生命を守る」という機器本来の目的は、きちんと維持されるものでなくてはならないのです。
また、インターネットに接続されることを想定していない機器も例外ではありません。通信機能を備えている機器はどのような環境であってもIoT機器とみなし、同等のセキュリティ対策を行います。もちろん機器本体の機能だけでなく、保守用ツールの悪用リスクについても、考慮しておかなくてはなりません。
設計
設計の指針では守るべきものを守る設計として、取り組むべき要点が説明されています。
IoT機器は停止することなく常に動作する前提で使用されることが多いため、異常が発生した際はすぐにIoT機器やシステムをネットワークから切り離すといった対策が必要です。また、ユーザーへの影響を最小限に抑えるために、早期に復旧するための設計も要求されます。
IoT機器はその特性から、機器メーカーが意図していないIoT機器とつなげられるケースがあります。IoT機器単独では問題がないにも関わらず、想定していないIoT機器とつながることにより未知のトラブルが起きる可能性があります。信頼性の低い機器との接続や、機能や性能に対しての検証に加え、安全な設計がされているかという観点での評価も必要です。
構築・接続
構築・接続の指針では、システム・サービスの構築・接続時に取り組むべき要点が示されています。
使用するIoTシステムの機能や特徴に合わせて、ネットワークの構成や、セキュリティ機能を設定します。ただ、機能や性能が限られたIoT機器では、それ単体で十分なセキュリティ対策を行うことが難しいことがあります。その場合、セキュアなゲートウェイを経由してネットワークに接続するなど、複合的な運用で安全性を担保しましょう。
サイバー攻撃からシステムを守るためには適切な初期設定を行うと共に、利用者に対して初期設定に関する注意喚起を行うことも重要です。また、不正なユーザーによるアクセスを防ぐには正規ユーザーの認証や、暗号化の導入が効果的です。
運用保守
運用・保守ではIoT機器・システム、サービスに関わる関係者が取り組むべき要点が挙げられています。
IoTシステム・サービスの提供者はIoT機器を安全安心な状態に保つことを目的に、セキュリティ上で重要なアップデートを適切に実施する必要があります。また、提供するシステムに関する新たな脆弱性がないか常に情報収集し、問題を放置せず関係者と協力し継続的にセキュリティを高める対処を行うことが必要です。なお、脆弱性を持つ機器がネットワーク上に存在しないか確認することも、被害を大きくしないために有効です。
IoT機器を利用したシステム・サービスは、IoT機器メーカー、IoTサービス提供者、ネットワーク事業者、通信機器メーカー、ユーザーなどがさまざまに関係する体制を基に実現されています。セキュリティを担保するためには、これら各関係者が役割分担を明確にし、それぞれの義務を事前に理解できるよう務める必要があるのです。
まとめ
IoTは、これからの生活や、ビジネスには欠かすことのできないソリューションとなるでしょう。一方で、IoTの運用にはさまざまなセキュリティリスクが潜んでいることも事実です。急増するIoTシステムを狙ったサイバー攻撃から企業を守り、安全にシステムを運用するためには、「IoTセキュリティガイドライン」等を参考に、適切なセキュリティ対策を進めることが重要です。
