サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

IoTセキュリティの課題や問題・事件事例とセキュリティ対策まで!



近年、IoTという言葉をよく聞くようになっています。

IoT( Internet of Things)とは

IoTとは、Internet of Thingsの略称で、直訳通り「モノのインターネット」を意味します。「モノ」とは、PCやスマートフォンのネットワーク機器だけではありません。自動車や産業機器、家電などのモノ全般を指します。IoTにより、対象の遠隔操作や計測が可能になりました。

IoTによる様々なリスク・起こりうる問題

IoTは便利な反面、モノがインターネットと繋がることでリスクも発生します。以下3つに分けて見ていきましょう。

  1. 物理的な事故や故障
  2. 個人情報や企業機密の流出
  3. DDoS攻撃の踏み台にされる

1つずつ問題点を説明します。

1. 物理的な事故や故障

まず考えられるのが、物理的な事故や故障によるリスクです。サイバー攻撃の対象は、PCやサーバーなどのネットワーク機器だけではありません。IoTそのものや大本の制御システムにサイバー攻撃を受ければ、IoTの制御が効かなくなる可能性があります。

一時的にでもIoTを制御できなくなると、自動車事故や労働災害などの大きな事故に繋がりかねません。人命に関わる恐れもあるため、IoTのセキュリティ体制の構築は非常に重要です。

2. 個人情報や企業機密の流出

IoTは、情報漏えいのリスクも抱えています。監視カメラやスピーカーなどのIoT機器が乗っ取られれば、簡単に情報を盗み見られてしまうからです。個人の家庭であれば、プライバシーを侵害されてしまうでしょう。

Webサイトの中には、監視カメラの映像を無断で公開しているページもあります。公開されているのは、パスワードを初期設定のままにしている監視カメラです。メーカーごとの初期設定パスワードは、Webサイトから容易に検索できます。IoTを導入する際は、必ずパスワード変更とアクセス制限を設定しましょう。

3. DDoS攻撃の踏み台にされる

最後のリスクは、DDoS攻撃の踏み台にされる点です。DDoS攻撃とは、複数のPCやサーバーを使って標的に過剰な負荷をかけ、サービス停止させる攻撃を指します。IoT機器は、DDoS攻撃に加担させられる「踏み台」となる恐れがあります。

踏み台にされると、知らないうちにサイバー攻撃の加害者にされることもあるでしょう。企業の信用問題に発展するため、IoTのセキュリティ対策を講じる必要があります。

IoTを利用したサイバー攻撃事件・事例

コンピュータをインターネットに接続する場合、ウィルス対策などのセキュリティ対策は必ず必要となる事柄です。最近は、日本年金機構やベネッセの個人情報漏えいなどウィルス感染や不正アクセス等を原因とする様々な情報セキュリティ事故が発生しています。

一方で、IoTを狙ったサイバー攻撃の事例も存在します。2016年9月頃から、IoTを利用するマルウェア「Mirai」が流行しました。

Miraiに感染したIoT機器は乗っ取られ、DDoS攻撃の踏み台とされます。翌10月にはAmazonやNetflixなどの大規模WebサービスがMiraiの標的となり、アクセス障害を引き起こしました。Miraiに乗っ取られたIoT機器は、およそ50万台以上と予想されています。

IoTを踏み台とするマルウェアは、Miraiだけではありません。次々と亜種が生まれているため、IoTもPCやサーバーと同等のセキュリティレベルが求められています。

経済産業省/総務省の「IoTセキュリティガイドライン」

IoTのセキュリティを見直す上で役立つのが、経済産業省と総務省による「IoTセキュリティガイドライン」です。IoTの提供企業とユーザーに向けて、IoTセキュリティの重要性や役割分担をまとめています。「IoTセキュリティガイドライン」では、IoTのセキュリティ対策を5段階に分けて解説しています。

1 方針
  • 経営者がIoTセキュリティの方針を策定し、セキュリティ体制を構築する
  • 内部不正や人的ミスの防止策を講じ、インシデント発生時の対応を検討する
2 分析
  • IoTのリスクを認識し、保護すべきデータや機器を特定する
  • 過去の攻撃事例や被害状況を研究し、自社の対策に活かす
3 設計
  • 保護すべき対象を安心・安全に守れるシステムや体制を設計する
  • 設計の整合性を確認し、検証・評価をおこなう
4 構築・接続
  • IoTの状況を把握してログを取得し、データの改ざん・消失に備える
  • 容易に攻撃できないよう初期設定からセキュアなものにする
  • 認証機能を用いる
5 運用・保守
  • IoT機器は長期利用されるため、出荷・リリース後もセキュリティ体制を維持する
  • ユーザーにIoT機器のリスクを周知する
  • 脆弱性診断を定期的に実施し、脆弱性があれば迅速に管理者へ伝達する

上記の他に、一般家庭に向けた「一般利用者のためのルール」も掲載されています。企業・個人ともにIoTセキュリティ構築の参考になるため、ぜひお役立てください。

IoTのセキュリティ対策における課題

IoTのリスクを認識し、セキュリティ対策を施そうとしている人も多いでしょう。しかし、IoTのセキュリティ対策には、以下2つの課題があります。

  1. IoT機器の種類と数の多さ
  2. セキュリティ製品の後付けが困難

順番に説明します。

1. IoT機器の種類と数の多さ

まず挙げられるのが、IoTはPCなどのIT機器に比べ数や種類が多い点です。オフィス内に限定しても、スマートキーや照明、空調、プリンター、センサー、監視カメラと、多くの種類があります。

これら全て一元管理しなければ、適切なセキュリティ対策はおこなえません。1つでも抜けがあるとセキュリティホールとなり、攻撃者に狙われるリスクは上がってしまいます。

2. セキュリティ製品の後付けが困難

2つ目の課題は、セキュリティ製品の後付けが難しい点です。ほとんどのIoT機器は、エンドポイントセキュリティなどのソフトウェアを導入できません。

PCやサーバーなどのIT機器であれば、後からいくらでもセキュリティ製品を導入してカスタマイズできます。しかし、IoT機器のセキュリティ機能は、後から付け足たすことは困難です。提供ベンダーによるアップデート、パスワード設定やアクセス権限といったユーザーによる基本的な対策が重要になります。

IoTの具体的なセキュリティ対策とは?

パソコンで行っているようなセキュリティ対策ソフトの導入はもちろんできないケースが多いです。そこで以下のような対策が考えられます。

1機器組込みソフトウェアへのセキュリティ対策の組み込み

現状のパソコンに似た方法ですが、各機器がIoTによりインターネットに接続される場合、TCP/IPを理解し、有線もしくは無線等でネットワークに接続する仕組みが必要になりますが、そのために組み込みソフトウェアの導入が一つの手法となります。

2機器の基盤へのセキュリティ対策モジュールの組み込み

1で組み込みソフトウェアにセキュリティ対策を行っていたのに対し、独立した基盤としてセキュリティ対策モジュールを設置する方法です。

これはパナソニックが暗号・認証モジュールとして先日発表したものもそれになります。これにより「なりすまし」「ハッキング」といったサイバー攻撃からIoTデバイスを守ることが可能になっています。

3サイバー攻撃に対する予測精度の向上と予測による未然防御

現状のネットワーク上に置かれる侵入検知・遮断システムであるIPS(Intrusion Prevention System)にも実装されている技術ですが、ネットワーク上にある各IoTモジュールでネットワークからの不審なアクセスを検知するとアクセスを遮断する等の対応を行うことで、不正なアクセスによる情報の漏えいを未然に防ぐものであり、この仕組みをIoTネットワーク上に実装することで、事象の発生を未然に防ぐことが可能となります。

IPAによるIoTセキュリティの調査報告

IPA(情報処理推進機構)は、IoTセキュリティに関する調査やガイドラインを分野ごとに掲載しています。各分野に特化したレポートを閲覧できるため、自社のセキュリティに活かしたい場合は参照してみてください。ここでは、各分野のレポートを一部抜粋して紹介します。

  1. 海外の動向
  2. 自動車
  3. 医療機器

各分野のレポート内容を、簡単に説明します。

1. 海外の動向

海外のIoTに関するレポートを和訳し、掲載しています。例として、以下のようなレポートがあります。

上記は、EU加盟国の情報セキュリティの専門機関「ENISA」によるレポートです。欧州におけるIoTセキュリティの課題や現状がまとめられています。

2. 自動車

自動車のIoTセキュリティに特化した、IPAの調査報告書や海外の動向が掲載されています。

自動車の情報セキュリティへの取組みガイド」は、自動車セキュリティに関するガイドラインです。企画から運用、廃棄までの各段階ごとにセキュリティ体制の考え方が解説されています。スマートフォンと自動車の連携が普及している現代では、自動車の情報セキュリティも重要な課題の1つです。

3. 医療機器

医療機器に関する情報セキュリティの報告書が掲載されています。ただし、IPAに掲載されているものは2014年度版と情報が古いため、厚生労働省の「医療情報システムの安全管理に関するガイドライン(第5.1版)」が参考になります。2021年1月発行のガイドラインなので、こちらがおすすめです。

「医療情報システムの安全管理に関するガイドライン」では、医療情報システムの安全管理やクラウドサービスの対応などが解説されています。

よくある質問

最後に、IoTに関するよくある質問2つにお答えします。

  1. IoTの身近な活用例は?
  2. IoTは今後も増えていく?

1つずつ回答します。

Q1.IoTの身近な活用例は?

A.自宅の玄関鍵をスマートフォンで操作する「スマートロック」、LED電球に調光やオンオフ機能を加えた「スマート電球」などがあります。

他にも冷蔵庫やスピーカー、テレビ、リモコンなど多数のIoT製品があります。スマートフォンと連携して使える家電を、総称して「スマート家電」と呼びます。スマート家電を導入すれば、日々の暮らしの利便性が増すでしょう。ただし、安全に使うためには、パスワード変更などのセキュリティ設定が欠かせません。

Q2.IoTは今後も増えていく?

A.IDC Japanの「国内IoT市場 産業分野別予測2021年~2025年」によれば、2025年には国内IoT市場は10兆1902億円に達する見込みです。

2020年の6兆3125億円から、およそ4兆円も市場拡大すると予想されています。IoTは家電だけでなく、製造業や物流、農業などあらゆる分野で利用が広まっています。今後さらにIoTの普及が加速すれば、より身近なものとなっていくのではないでしょうか。

おわりに

まず現時点で企業や家庭で出来ることは、企業ではIPSなどのシステムを実装し、パソコン以外であってもセキュリティ対策が出来る状態にすることです。家庭では、IPSなどはなかなか設置できないので、プロバイダ等が提供するセキュリティ対策サービスに加入する等の対策が有効だと言えるでしょう。

IoTに対するセキュリティと安全性はまだまだこれからの課題という部分も多いですが、全てのものがインターネットに繋がるという性格上、不正アクセスが発生した際の問題は、今までと比較にならないほど大きくなります。様々な方法を駆使し、確実な安全性を確立してゆく必要があります。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。