近年、IoTという言葉をよく聞くようになっています。
この記事の目次
IoT( Internet of Things)とは
IoTとは、Internet of Thingsの略称で、直訳通り「モノのインターネット」を意味します。「モノ」とは、PCやスマートフォンのネットワーク機器だけではありません。自動車や産業機器、家電などのモノ全般を指します。IoTにより、対象の遠隔操作や計測が可能になりました。
IoTによる様々なリスク・起こりうる問題
IoTは便利な反面、モノがインターネットと繋がることでリスクも発生します。以下3つに分けて見ていきましょう。
- 物理的な事故や故障
- 個人情報や企業機密の流出
- DDoS攻撃の踏み台にされる
1つずつ問題点を説明します。
1. 物理的な事故や故障
まず考えられるのが、物理的な事故や故障によるリスクです。サイバー攻撃の対象は、PCやサーバーなどのネットワーク機器だけではありません。IoTそのものや大本の制御システムにサイバー攻撃を受ければ、IoTの制御が効かなくなる可能性があります。
一時的にでもIoTを制御できなくなると、自動車事故や労働災害などの大きな事故に繋がりかねません。人命に関わる恐れもあるため、IoTのセキュリティ体制の構築は非常に重要です。
2. 個人情報や企業機密の流出
IoTは、情報漏えいのリスクも抱えています。監視カメラやスピーカーなどのIoT機器が乗っ取られれば、簡単に情報を盗み見られてしまうからです。個人の家庭であれば、プライバシーを侵害されてしまうでしょう。
Webサイトの中には、監視カメラの映像を無断で公開しているページもあります。公開されているのは、パスワードを初期設定のままにしている監視カメラです。メーカーごとの初期設定パスワードは、Webサイトから容易に検索できます。IoTを導入する際は、必ずパスワード変更とアクセス制限を設定しましょう。
3. DDoS攻撃の踏み台にされる
最後のリスクは、DDoS攻撃の踏み台にされる点です。DDoS攻撃とは、複数のPCやサーバーを使って標的に過剰な負荷をかけ、サービス停止させる攻撃を指します。IoT機器は、DDoS攻撃に加担させられる「踏み台」となる恐れがあります。
踏み台にされると、知らないうちにサイバー攻撃の加害者にされることもあるでしょう。企業の信用問題に発展するため、IoTのセキュリティ対策を講じる必要があります。
IoTを利用したサイバー攻撃事件・事例
コンピュータをインターネットに接続する場合、ウィルス対策などのセキュリティ対策は必ず必要となる事柄です。最近は、日本年金機構やベネッセの個人情報漏えいなどウィルス感染や不正アクセス等を原因とする様々な情報セキュリティ事故が発生しています。
一方で、IoTを狙ったサイバー攻撃の事例も存在します。2016年9月頃から、IoTを利用するマルウェア「Mirai」が流行しました。
Miraiに感染したIoT機器は乗っ取られ、DDoS攻撃の踏み台とされます。翌10月にはAmazonやNetflixなどの大規模WebサービスがMiraiの標的となり、アクセス障害を引き起こしました。Miraiに乗っ取られたIoT機器は、およそ50万台以上と予想されています。
IoTを踏み台とするマルウェアは、Miraiだけではありません。次々と亜種が生まれているため、IoTもPCやサーバーと同等のセキュリティレベルが求められています。
経済産業省/総務省の「IoTセキュリティガイドライン」
IoTのセキュリティを見直す上で役立つのが、経済産業省と総務省による「IoTセキュリティガイドライン」です。IoTの提供企業とユーザーに向けて、IoTセキュリティの重要性や役割分担をまとめています。「IoTセキュリティガイドライン」では、IoTのセキュリティ対策を5段階に分けて解説しています。
1 | 方針 |
|
---|---|---|
2 | 分析 |
|
3 | 設計 |
|
4 | 構築・接続 |
|
5 | 運用・保守 |
|
上記の他に、一般家庭に向けた「一般利用者のためのルール」も掲載されています。企業・個人ともにIoTセキュリティ構築の参考になるため、ぜひお役立てください。
IoTのセキュリティ対策における課題
IoTのリスクを認識し、セキュリティ対策を施そうとしている人も多いでしょう。しかし、IoTのセキュリティ対策には、以下2つの課題があります。
- IoT機器の種類と数の多さ
- セキュリティ製品の後付けが困難
順番に説明します。
1. IoT機器の種類と数の多さ
まず挙げられるのが、IoTはPCなどのIT機器に比べ数や種類が多い点です。オフィス内に限定しても、スマートキーや照明、空調、プリンター、センサー、監視カメラと、多くの種類があります。
これら全て一元管理しなければ、適切なセキュリティ対策はおこなえません。1つでも抜けがあるとセキュリティホールとなり、攻撃者に狙われるリスクは上がってしまいます。
2. セキュリティ製品の後付けが困難
2つ目の課題は、セキュリティ製品の後付けが難しい点です。ほとんどのIoT機器は、エンドポイントセキュリティなどのソフトウェアを導入できません。
PCやサーバーなどのIT機器であれば、後からいくらでもセキュリティ製品を導入してカスタマイズできます。しかし、IoT機器のセキュリティ機能は、後から付け足たすことは困難です。提供ベンダーによるアップデート、パスワード設定やアクセス権限といったユーザーによる基本的な対策が重要になります。
IoTの具体的なセキュリティ対策とは?
パソコンで行っているようなセキュリティ対策ソフトの導入はもちろんできないケースが多いです。そこで以下のような対策が考えられます。
1機器組込みソフトウェアへのセキュリティ対策の組み込み
現状のパソコンに似た方法ですが、各機器がIoTによりインターネットに接続される場合、TCP/IPを理解し、有線もしくは無線等でネットワークに接続する仕組みが必要になりますが、そのために組み込みソフトウェアの導入が一つの手法となります。
2機器の基盤へのセキュリティ対策モジュールの組み込み
1で組み込みソフトウェアにセキュリティ対策を行っていたのに対し、独立した基盤としてセキュリティ対策モジュールを設置する方法です。
これはパナソニックが暗号・認証モジュールとして先日発表したものもそれになります。これにより「なりすまし」「ハッキング」といったサイバー攻撃からIoTデバイスを守ることが可能になっています。
3サイバー攻撃に対する予測精度の向上と予測による未然防御
現状のネットワーク上に置かれる侵入検知・遮断システムであるIPS(Intrusion Prevention System)にも実装されている技術ですが、ネットワーク上にある各IoTモジュールでネットワークからの不審なアクセスを検知するとアクセスを遮断する等の対応を行うことで、不正なアクセスによる情報の漏えいを未然に防ぐものであり、この仕組みをIoTネットワーク上に実装することで、事象の発生を未然に防ぐことが可能となります。
IPAによるIoTセキュリティの調査報告
IPA(情報処理推進機構)は、IoTセキュリティに関する調査やガイドラインを分野ごとに掲載しています。各分野に特化したレポートを閲覧できるため、自社のセキュリティに活かしたい場合は参照してみてください。ここでは、各分野のレポートを一部抜粋して紹介します。
- 海外の動向
- 自動車
- 医療機器
各分野のレポート内容を、簡単に説明します。
1. 海外の動向
海外のIoTに関するレポートを和訳し、掲載しています。例として、以下のようなレポートがあります。
- 「IoTのセキュリティ標準のギャップ分析」(「ENISA:IoT Security Standards Gap Analysis」の日本語全訳)
- 「インダストリー4.0サイバーセキュリティ:課題と提言」(「ENISA:Industry 4.0 – Cybersecurity Challenges and Recommendations」の日本語全訳)
上記は、EU加盟国の情報セキュリティの専門機関「ENISA」によるレポートです。欧州におけるIoTセキュリティの課題や現状がまとめられています。
2. 自動車
自動車のIoTセキュリティに特化した、IPAの調査報告書や海外の動向が掲載されています。
「自動車の情報セキュリティへの取組みガイド」は、自動車セキュリティに関するガイドラインです。企画から運用、廃棄までの各段階ごとにセキュリティ体制の考え方が解説されています。スマートフォンと自動車の連携が普及している現代では、自動車の情報セキュリティも重要な課題の1つです。
3. 医療機器
医療機器に関する情報セキュリティの報告書が掲載されています。ただし、IPAに掲載されているものは2014年度版と情報が古いため、厚生労働省の「医療情報システムの安全管理に関するガイドライン(第5.1版)」が参考になります。2021年1月発行のガイドラインなので、こちらがおすすめです。
「医療情報システムの安全管理に関するガイドライン」では、医療情報システムの安全管理やクラウドサービスの対応などが解説されています。
よくある質問
最後に、IoTに関するよくある質問2つにお答えします。
- IoTの身近な活用例は?
- IoTは今後も増えていく?
1つずつ回答します。
Q1.IoTの身近な活用例は?
A.自宅の玄関鍵をスマートフォンで操作する「スマートロック」、LED電球に調光やオンオフ機能を加えた「スマート電球」などがあります。
他にも冷蔵庫やスピーカー、テレビ、リモコンなど多数のIoT製品があります。スマートフォンと連携して使える家電を、総称して「スマート家電」と呼びます。スマート家電を導入すれば、日々の暮らしの利便性が増すでしょう。ただし、安全に使うためには、パスワード変更などのセキュリティ設定が欠かせません。
Q2.IoTは今後も増えていく?
A.IDC Japanの「国内IoT市場 産業分野別予測2021年~2025年」によれば、2025年には国内IoT市場は10兆1902億円に達する見込みです。
2020年の6兆3125億円から、およそ4兆円も市場拡大すると予想されています。IoTは家電だけでなく、製造業や物流、農業などあらゆる分野で利用が広まっています。今後さらにIoTの普及が加速すれば、より身近なものとなっていくのではないでしょうか。
おわりに
まず現時点で企業や家庭で出来ることは、企業ではIPSなどのシステムを実装し、パソコン以外であってもセキュリティ対策が出来る状態にすることです。家庭では、IPSなどはなかなか設置できないので、プロバイダ等が提供するセキュリティ対策サービスに加入する等の対策が有効だと言えるでしょう。
IoTに対するセキュリティと安全性はまだまだこれからの課題という部分も多いですが、全てのものがインターネットに繋がるという性格上、不正アクセスが発生した際の問題は、今までと比較にならないほど大きくなります。様々な方法を駆使し、確実な安全性を確立してゆく必要があります。