IoT技術を活用したシステムが普及し、IoTデバイスの数が百億台を超えると言われている現在の世の中では、「IoTのセキュリティ」について、どのように考えて対策をしていったらよいかと悩んでいる方も多いと思います。
そこで、本記事では、様々なIoTデバイスが存在する中で、どのようにしてIoTシステムのセキュリティ対策を行っていけばよいのか、いくつかのトピックをピックアップしてご紹介します。
IoTとは、家電、自動車、ロボット、センサーやスマートスピーカー等、インターネットと繋がる「モノ」すべてを指します。また、それらが繋がるクラウドシステムなどがあれば、それも含めて「IoTシステム」と言えるでしょう。
「IoTシステム」は、様々な「モノ」をインターネットと繋げることで、これまでのユーザビリティが飛躍的に向上し、人々の暮らしが豊かになることが期待されています。今後、スマートハウスや、自動運転、様々なデータを取得するためのセンサーなど、AIやソフトウェアの性能向上に連れ、IoTシステムはさらに増え続けると予想されます。
そういった中、経済産業省が「コネクテッド・インダストリーズ税制(IoT税制)」(以下、IoT税制)を平成30年6月に創設しました。IoT税制とは、企業がIoTシステムを生産性向上を目的として導入することを支援するものです。企業はこの制度を利用してIoT機器を導入すると、税的優遇措置を受けられます。
具体的には以下のような効果が期待されます。
・全国各地の倉庫の在庫状況をリアルタイムに把握して生産性向上
・ロボット導入で製造から提供までの時間を短縮
ただし、この制度を利用するためには「必要なセキュリティ対策を講じられていること」が条件として提示されています。
国としても、IoTシステムを活用することを推進していますが、同時にIoTシステムに対するセキュリティ対策の重要性も訴えています。
IoTセキュリティとは、各IoT機器や各種システムなどに対して使える広義な言葉であり、一言でIoTセキュリティとは?どう対策するの?という問いに対して、最適解を出すことは難しいため、個々に考えていくことが求められます。
増え続けるIoTシステムに対してセキュリティを担保するためにはどうするか、次章ではまずIoTセキュリティ対策を考える前に、どんなリスクがあるのかをご紹介します。
前章でもご紹介した通り、IoTシステムには様々なものがあるため、IoT導入に伴うリスクも多岐に渡りますが、大きく3パターンに分類できます。
これらのリスクが顕在化すると人的・金銭的被害、訴訟被害など、企業の事業存続に大きな影響を与える可能性があります。
これらを再認識することで、IoTシステムのリスクの見落としを防ぐことができます。
以下の記事ではスマートスピーカーがのっとられた事例を紹介しています。
プライバシー問題だけじゃない!スマートスピーカーのセキュリティトラブル事例まとめ
本章では、IoTシステムへのセキュリティ対策の取り組み方をどのように行っていけばよいのかを3ステップに分けてご紹介します。
まずIoTシステムへのセキュリティ対策の第一歩として、自社が管理しているIoTシステムの棚卸しを実施します。管理するIoTシステムを再確認することで、その後のリスクの洗い出しや対策検討に繋がりやすくなります。
この棚卸しのポイントは、前章で挙げたリスクのどれにあてはまるかを特定をすることです。その際、把握漏れ等を無くすために他部署と協力することが必要です。
棚卸しが不十分だと、この後の対策をいかに行ったとしても、把握漏れのIoTシステムに対するリスクを放置することになるため非常に危険です。
IoTシステムの棚卸しが終わったら、そのIoTシステムがどんな通信経路で、各種IoTシステムと通信をしているかを把握します。
管理しているIoTシステムの通信経路の詳細を把握することで、どの機器が、どのネットワークを介して、どのシステムに接続しているのかが明確になります。したがって、「本来外部ネットワークに接続する必要のない機器が、外部ネットワークに接続されていた」などの状況を未然に防ぐことができるようになるため、インシデント発生のリスクを低減することができます。ポイントとしてはネットワーク構成図のように、何がどのネットワークに接続しているのか全体を俯瞰して可視化することです。
もう必要でなくなったIoTシステムがそのまま動作していたり、インターネットに接続する必要のない機器が接続されている事例を見かけますが、これは非常に危険です。利用しなくなったIoTシステムを放置しておくことは、攻撃される可能性を放置していることにもなります。
IoT機器のシステムやネットワークとの通信経路を把握できたら、必要のないインターネット接続がないか、見直してみましょう。
次に、IoTシステムそれぞれに対する想定されるリスクとその影響を洗い出します。
このプロセスを通してリスクと影響度を把握したら、何をどこまでどの優先度で対策するのか目標を設定します。そして設定した目標にしたがい、それぞれの機器への対策を実行しましょう。
以下の記事では、IoTセキュリティの脅威をDREADという5つの指標を用いて分析をする方法を紹介しています。
IoTセキュリティは『脅威』の分析から|現場で使える実践ステップを解説
多様化するIoT機器に対して、どんな対策をしていくかは機器やネットワーク構成にもよりますが、代表的な対策例をいくつかご紹介します。
対策① ポート管理
IoT機器を狙う攻撃として、23番ポート(telnet)への通信の割合が増えてきました。
このように、様々なIoT機器と通信をするため、当該ポートを開放しているケースが見受けられますが、攻撃者はそこを狙って攻撃してくるため、FW等で適切な設定をすることや、使わなくなった不要な開放ポートを放置しないこともIoTセキュリティとして、効果的な対策の1つです。
(NRIセキュア 「サイバーセキュリティ傾向分析レポート2018」)
■合わせて読みたい記事
IoT機器へのサイバー攻撃の最新実態|25億件の通信分析から見えたこと
対策② デフォルトパスワードの変更
一番簡単に対策できるものの、これができていない機器は非常に多く、IoT機器への攻撃を成功させてしまう最も大きな原因の1つとなります。爆発的に広がったIoT機器を狙うマルウェア「mirai」もこれが原因で感染した事例も見受けられます。
(出典:http://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/pdf/001_s01_00.pdf)
機器によっては、初期パスワードを強制的に変更する仕組みもありますが、そういった機器ばかりではないので、初期パスワードは必ず変更しておきましょう。
対策③ ファームウェアの更新
どんな機器にも脆弱性が潜んでいる可能性があるため、最新のファームウェアのアップデートをすることが重要です。脆弱性情報収集や、新しいファームウェアが配布されていないかを定期的にチェックしましょう。
しかし、実はここには落とし穴が潜んでいる可能性があります。それは、「ファームウェアの改ざん」です。ファームウェアが改ざんされており、そこにマルウェアが仕込まれていれば、わざわざマルウェアを丁重に正面玄関から迎え入れるようなものです。
そのため、ファームウェアは正規のサイトから手に入れるようにしましょう。さらに、正規のサイトのファームウェアが改ざんされていないか、ファームウェアのマルウェアチェックができると尚良いでしょう。
これから新規でIoT機器導入をする場合に抑えておくべきポイントの1つは、メーカー側からサポートがきちんと受けられるか(ファームウェアの更新含め)です。
使用側がいくら対策を講じていても、IoT機器自体の脆弱性が放置されたままでは元も子もありません。そのため、サポートやファームウェアが定期的に更新されているかどうかは、機器を購入する検討段階でチェックしましょう。機器の値段、機能等を鑑みてコストパフォーマンスの良いものを購入したいと考えるのは当然ですが、セキュリティインシデントが起きた場合のインパクトを考え、購入検討する際の項目の1つとして「サポート」に関しても加えておくべきでしょう。
■合わせて読みたい記事
もう一つIoTセキュリティ|Industry4.0をサイバー攻撃から守る
今回は、「IoTセキュリティ」の対策の全体像についてご紹介してきましたが、まずは、自社のIoTセキュリティの対策状況を把握することが、網羅的な対策の第一歩なので、是非そこから始めてみてください。
Secure SketCHでは、78問の設問に答えるだけで、セキュリティ対策状況を可視化し、自社のセキュリティ偏差値を見ることが出来ます。IoTシステムのセキュリティ対策状況の可視化のために、Secure SketCHを活用してみませんか。
Secure SketCHへの新規登録(無料)はこちらから!