ブログ記事

便利なはずのIoTが狙われる!急務のセキュリティ対策

2018/05/23

 

IoT時代の到来!セキュリティは追いついていない?

事務機器や産業機械、防犯機器、自動車、一般家電製品など、職場から家庭まで私たちの周りにあるありとあらゆる“モノ”がインターネットに接続され、ネットワークサービスとして高い利便性を発揮するようになってゆく「IoT(Internet of Things・モノのインターネット)」、この本格的な普及・導入が始まるといわれて久しく、いよいよその社会的実現が目前になっています。

言葉としての認知度も向上し、実際のIoTデバイスやサービスも徐々に身近なところで見受けられるようになりました。今後は対応デバイスがより増加、多様化し、巨大なネットワークでの情報収集・分析・フィードバックを介した共有が進んでいくことでしょう。

こうしたIoTの広がりは、これまでにない革新的サービスの実現でビジネス創出や新規市場開拓の機会をもたらすほか、オフィス環境や作業現場環境の効率性・快適性を改善するものになることが期待されます。

しかし一方でIoTデバイスはその性質上、オープンなインターネット環境などさまざまなネットワークと接続し、取得したセンサーデータ情報などをやりとりすること、クラウドを活用することとが前提となるため、新たなセキュリティ上の懸念を発生させるものともなります。

これまでのPCやモバイルデバイス、ネットワーク機器に比べ、まだ歴史も浅く業界の標準化が遅れているなど、セキュリティ対策が不十分なものも多いIoTデバイスが、攻撃者の格好の標的となり、広範にわたる深刻な被害を招く可能性は少なくなく、実際の事例としての報告も急増しています。

そこで今回は、IoTデバイスやサービスにおけるセキュリティ脆弱性と、それを受けた対策について解説しましょう。

意識しないインターフェースという進化と常時接続によるリスクの増大

IoTデバイスは2016年時点で全世界に173億個、これが2021年までには倍増すると見込まれています。そうした中でIoTデバイスを狙ったサイバー攻撃も顕著に増えており、2017年に確認された全サイバー攻撃中、半数以上がIoTを対象としたものであったとする衝撃の報告もありました。

海外では、史上最大規模のDDoS攻撃として話題になったマルウェア「Mirai」が、IoTデバイスのネットワークカメラを踏み台として侵入、感染を広げ、米ネット企業を中心に甚大な被害を生じさせた事例が記憶に新しいでしょう。

PCやモバイルデバイスからのクラウド利用など、さまざまな業務でITの利活用が進み、こちらでは本人認証やアクセス権限の管理、暗号化、イントラネットの活用、IDS/IPSといった多様な角度からのビジネス利用に耐えうる高度なセキュリティ対策がとられるようになってきたものの、IoTデバイスはというと、まだそうした高い意識のもとにあるとはいえません。

内蔵センサによるデータ収集が基本で、キーボードやディスプレイなど、入力操作が意識されやすいインターフェースを有しないものがほとんどであるIoTデバイスでは、基本設定を行った後はユーザーによる積極的操作がおよそ不要となり、それゆえの高い利便性がある一方、ほぼ無防備な状態で常時接続されていることが忘れ去られやすいデメリットがあり、そもそも複層的なセキュリティ対策が講じられておらず、貧弱な仕様のものが多いことから、攻撃の対象になりやすいのです。

ネットワークカメラやスマートメーターなどの制御システム、BEMS(Building Management System)といった大規模なものまで、快適で便利な仕組みを提供してくれるものの、脅威と認識されないままセキュリティホールを生じさせてしまっていることが少なくないのが現状です。

IoTデバイスはシンプルな作りにみえますが、多くの場合CPUやメモリを搭載、OSにアプリをのせてデータのやりとりを行うセンサコンピュータそのものです。これが稼働するサーバーとつながって動いており、基本的にWeb閲覧やメール送受信といったユーザー操作はありませんから、およそ脆弱性はこのサーバー関連やOS関連となります。

対策はどうすれば?

いったん攻撃を受けマルウェアに感染するなどしてしまうと、HTTPリクエストを大量に送りつけるようなDDoS攻撃に加担して次々に被害を広げたり、ストレージを破壊してデータの消去を行ったりする可能性があるほか、秘匿性の高いデータの盗み見や情報漏洩を引き起こしてしまうことが考えられます。システムの遠隔操作による危険作動も甚大な影響を及ぼしかねないでしょう。

では、こうしたIoTデバイスのセキュリティ対策は、何をどのように行えばよいのでしょうか。まず最も基本の段階として、初期設定のIDやパスワードのままデバイスを用いていないか確認し、万が一放置されているものを見つけたらすぐにきちんと変更すること、またセキュリティリスクのあるWebサーバーサービスの利用を停止させるなどしましょう。感染している恐れがある場合は、そのIoTデバイスを早急にネットワークから切り離し、システムの初期化を行います。

本格的な普及のスタート段階にある今日では、まだまだIoTデバイス/サービスの提供側におけるサポートが十分ではなく、最新の攻撃に対応するアップデートの実施も一般化しているとはいえませんが、プログラムのアップデートを自動実行する設定があれば、これを有効にし、常に最新の状態を保つようにしておきましょう。この態度はPCなどと同様であるべきです。

またインターネットに直接接続しなければならないか、その他の重要システムネットワークと結びついている必要性があるか確認し、必要でないならば個別ルータを用いるなどして、直接的な攻撃のアクセスや被害の広がりをできる限り防ぐ体制をとることをおすすめします。

認証機能を導入したり、機能・用途に応じた接続管理を図ったりすることも有効です。つながることでのリスクを常に認識、想定し、安易に利用しないよう社内全体で注意しましょう。いったん導入すると、ライフサイクルも長めになるIoTデバイスは多いと考えられますから、運用・保守の管理徹底は重要です。処分時のデータ消去まで、しっかり適正に行いましょう。

いかがでしたか。IoTのセキュリティに関しては、まだほぼ無防備に放置され、基本的な対策すら講じられていないケースが多くなっています。まずは現状のIoTシステム環境について、脆弱性やリスクの調査・把握に努め、デバイスやサービスの提供側であるベンダーとともに、より高度で最適な対策を実行していくことが求められます。

(画像は写真素材 足成より)

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。