近年、あらゆるシーンで活用が進められているIoT(Internet of Things)。さまざまな「モノ」とインターネットを接続することで、生産性向上や新たな価値創造が期待できる技術として、一般利用者だけでなく製造現場やIT企業のインフラ整備などにも導入されています。
私たちの生活や企業経営にも役立てられるIoTシステムですが、その一方で気を付けなければならないのが、セキュリティの問題です。モノがインターネットと接続する以上、PCなどのIT機器と同様、サイバー攻撃や不正アクセス等のリスクがあることを忘れてはいけません。
本記事では、普及が拡大するIoTシステムの導入に備え、利用者が認識しておくべきセキュリティリスクや、導入時のセキュリティ対策についてお話しします。
IoT機器を狙ったサイバー攻撃の脅威
家電や産業用機器などのさまざまなIoT製品の登場により、ネットワークセキュリティに対する脅威が増加しています。これまでPCやスマートフォンなどのIT機器には、ウイルス対策ソフトなどのセキュリテイ対策を講じることが一般的とされていました。しかし、モノとして利用するIoT機器は、従来インターネットに接続することなく利用していたため、十分な対策ができていないという方も少なくありません。
IoT機器をターゲットとした攻撃事例
IPA独立行政法人 情報処理推進機構がまとめた「情報セキュリティ白書(2018年)」では、以下の攻撃事例が報告されています。
2016年、マルウェア「Mirai」に感染したIoT機器を用いて、大量のデータを送りつける「DDoS攻撃」が行われ、その負荷によってWebサイトやサーバをダウンさせるという事件が発生。この「Mirai」は世界のインフラにも大きな影響を及ぼしました。
2017年4月には、OEM生産されたあらゆるネットワークカメラを感染対象としたウイルス「PERSIRAI」が検出。同月26日の時点で、感染の恐れのあるネットワークカメラが全世界で約12万台存在することが報告されました。
このように、Miraiをはじめ、IoT機器への侵入方法が巧妙化されたMiraiの亜種や、特定のIoT機器を狙った新たなウイルスが次々と出現しています。国内での被害も拡大していることから、これまで以上にIoT機器への対策強化が急務となっています。
(出典:IPA独立行政法人 情報処理推進機構「2018年度 情報セキュリティ白書」)
IoTを踏み台にした、重大なインシデント発生も
セキュリティ対策が十分でないIoT機器を狙ったマルウエア感染によって、企業や組織で大規模なインシデントが発生するケースも見られています。
その事例として、下水処理施設の制御システムへの侵入が挙げられます。リモートアクセスを利用してシステムに侵入し、外部から不正操作が行われたことにより、汚水が放出し、海水汚染や海洋系にも大きな被害を及ぼしました。
こうしたIoTを踏み台にした攻撃は、「IoT機器への侵入のしやすさ」が原因として考えられます。簡単に不正アクセスできることで、マルウエア感染や遠隔操作によってさらなる攻撃の踏み台とされてしまうのです。
(出典:CSSC技術研究組合制御システムセキュリティセンター「制御システムセキュリティの脅威と対策の動向およびCSSCの研究概要について」)
IoT活用のセキュリティ課題とは
IoTに対するセキュリティ対策は、従来から利用しているPCやスマートフォンと比べて、容易なものではなくなっています。その理由といえるのは、IoT機器の利用サイクルが長期化していることや、監視が行き届きにくいことなどが挙げられます。
IoT機器として普及している「家電」を例に課題を見てみましょう。
PCやスマートフォンの使用年数は数年であるのに対し、家電は10年以上使うことも珍しくありません。IoT機器をターゲットとしたマルウェアの多くは、正常に動作しつつ攻撃に悪用される手口もあるため、長期間ウイルスに感染したまま気が付かないということも考えられます。
また、ディスプレイを持つPCやスマートフォンと比べて、IoTは攻撃を察知しにくい状況といえます。スピーカーや監視カメラなどのさまざまな家電がインターネットに接続されているとなれば、すべての機器を監視することは難しいといえるでしょう。
IoTの導入時には、まずIoT特有のセキュリティ脆弱性を把握し、システムや利用機器ごとに適切な対策を講ずる必要があります。
IoTのセキュリティを向上するための対策
ますます広がるIoTを狙った脅威に対応するには、どのような対策をするべきなのでしょうか。ここでは、IoT導入に向けてセキュリティを向上する対策をご紹介します。
初期のID/パスワードを変更する
インターネット接続時に初期設定のID/パスワードがそのまま利用されている場合は、不特定多数から簡単にアクセスされてしまう危険性があります。IoT機器の購入時にはID/パスワードを変更し、定期的に更新するようにしましょう。攻撃プロセスとなる侵入口への対策を強化することで、不正アクセスのリスクに備えることができます。
保管・伝送中のデータを暗号化する
IoT機器に保存されているデータや、インターネット接続時のデータが暗号化されていないと、不正アクセスが起きたときに情報を簡単に盗み見されてしまう危険性があります。暗号化対応の製品を選ぶことや、暗号化通信ができるネットワーク環境を構築することで、万が一IoT機器へ侵入された場合に、情報漏えいやデータ改ざんなどのリスクを防ぐことができます。
IoT機器への接続に電子証明書を利用する
IoT機器からインターネットへ接続するときに、信頼できるデバイスのみを認証できる電子証明書を利用することで、接続時のセキュリティを向上することができます。電子証明書では、アクセスされるデバイスが自分のIoT機器であるかどうか識別するとともに、IoT機器とネットワーク通信間の暗号化が可能です。
常に最新版をアップデートする
IoT機器に最新バージョンが発表された際には、常に最新版へアップデートすることが大切です。デバイス起動時にアップデートを実施することで、ネットワーク接続のセキュリティを向上することができます。
「IoTセキュリティガイドライン」を参考に対策を強化しよう
人々の生活やビジネスにおいても注目されているIoT。生活の質の向上や企業の発展にも大きく貢献するIoT活用ですが、IoT機器を狙ったサイバー攻撃や、これらを踏み台とした重大な被害が発生したことから、セキュリティ対策への重要性が高まってきています。
こうした新たな脅威に対し、2018年に総務省・経済産業省は「IoTセキュリティガイドライン」を制定しました。同ガイドラインでは、IoT活用に向けたセキュリティ対策の危険性を把握するとともに、リスクに対する企業の対策例などが解説されています。
IoT導入を検討している方は、このガイドラインを参考にIoTへの脅威を改めて認識し、IoT機器に対するセキュリティ対策強化を検討しましょう。また、デバイスに対する物理的な対策だけでなく、組織における情報セキュリティ意識の向上、万が一の時に適切に対応できる体制を整えておくことも大切です。