「IoT(Internet of Thing)」とは、「モノ」をインターネットとつなぎ、相互に情報交換する仕組みや技術のことです。この技術は急速な進歩をみせて、さまざまな製品に用いられるようになりました。いまでは家電・自動車・ロボットなど、身近な製品にも取り入れられています。IoTは大変便利な技術ですが、その普及にともなって、セキュリティにおける脆弱性も問題となっています。
IoT製品のセキュリティ上の脆弱性
IoT機器やそのシステムは次のような理由から、セキュリティに強くないと考えられます。
ハードウエアの処理能力の不足
IoT製品の処理能力は必ずしも高くありません。元となる製品に付属するハードウエアに限界があるため、強固なセキュリティを築けないためです。そのため、データ保護や外部からの不正アクセスを遮断する能力が不足している製品が少なくありません。
IoTに使われるソフトウエアの脆弱性
現在、パソコンやサーバーをはじめとする機器のほとんどは、セキュリティソフト導入によってサイバー攻撃対策がされています。しかし、IoT機器では、ハードウエア上の問題や、パソコン機器として認識されにくいことなどが理由で、セキュリティソフトが用いられていないものが多いです。それだけでなく、既知の脅威に対して基本的な対策がされていないソフトウェアが用いられている製品も存在しています。
通信技術における問題
IoT機器の多くは、BluetoothやLPWAといった通信技術を用いて、ほかのデバイスとアクセスしています。しかし、これらの比較的新しい通信技術には、気づかれていない脆弱性が潜んでいる可能性が少なくありません。くわえて、IoT機器では使われているハードウエアの限界や利便性から、セキュリティと通信プロトコルの両立がうまくできていないケースが見受けられます。
安全管理についての意識の低さ
ユーザーのセキュリティ意識の低さも、IoT機器のセキュリティにおける脆弱性を高めています。安全性が確認できていないネットワーク上につながれたIoT機器や、デフォルト状態のままで使われているIoT機器は数多く存在しています。それどころか、IoT機器のパスワードやユーザーIDが初期状態のままというものも少なくありません。このような状態のIoT機器はサイバー攻撃の糸口となるため非常に危険です。
IoT機器へのサイバー攻撃の事例
いまやIoT機器を狙ったサイバー攻撃はとどまることがありません。その事例として「Mirai」によるDDoS攻撃を紹介します。DDoS攻撃とは、複数のコンピューターなどから、ウェブサイトやサーバーに膨大なデータを送り付けるサイバー攻撃の手法のことです。
2016年9月、コンピューターセキュリティを専門にしているジャーナリストのブログに対して、大規模なDDoS攻撃が仕掛けられました。続いて同年10月、フランスのインターネット関連企業、DNSサーバープロバイダ、アメリカの有名インターネットサービスに対しても、大規模DDoS攻撃が起きました。その攻撃量はすさまじく、複数のサービスが一時停止を余儀なくされただけにとどまらず、アメリカでは断続的にインターネットへの接続が悪化しました。攻撃元となったのはマルウェア「Mirai」に感染したIoT機器です。
「Mirai」とは感染した機器をボット(bot)化させ、それらをまとめてボットネットを構築するマルウェアです。linuxで動作するIoT機器に感染します。「Mirai」はその後も亜種が複数誕生しており、2022年の時点でもその危険性が残っています。
3つのステップでIoT機器のセキュリティ対策
IoT機器のセキュリティでは、「デフォルト設定のままでは使わない」「パスワードとユーザーIDを変更する」「ネットワークにセキュリティ対策製品を用いる」といった基本的な対策が有効です。さらにセキュリティを高めたいのであれば、機器の把握・通信経路のチェック・対策目標の設定という3つのステップを踏まえた上で、必要なセキュリティ対策を施すようにしましょう。
使っているIoT機器を把握しよう
現在使っているIoT機器が、どれだけあるのか、その種類と数を確認しましょう。スマート家電のようなわかりやすいものから、パソコンに付いているカメラやマイク機能まで、細かく分類分けしてチェックしていきましょう。特に企業は、利用している施設の共用部分にも目を向けて、IoT機器を棚卸してください。この段階が不十分だと、IoT機器にセキュリティ対策を施しても、チェックされなかった機器に対策漏れが発生するので注意しましょう。
IoT機器がつながれている通信経路のチェック
IoT機器の把握ができたなら、それらがどのような通信経路でつながっているかをチェックしましょう。それぞれのIoT機器の、接続先・経由しているネットワーク・介在しているシステムを明らかにします。不用な外部ネットワークは、サイバー攻撃の経路となりかねません。また、問題が起きたときにネットワーク上に問題が起きていないかどうかを見つけやすくなります。使っていないIoT機器や、インターネットに接続する必要がない機器が、ネットワーク上に現れる場合には注意が必要です。
セキュリティ対策の目標を設定する
最後にどの程度の攻撃まで対処するべきか、リスクが持つ危険度を元にしてセキュリティの目標を設定します。リスクが持つ危険度は、次の3つのステップで判断してください。1段階目は、IoT機器が持っているデータ、あるいはネットワーク上にある情報の価値を算定します。2段階目は、IoT機器を使用においてどのようなリスクが存在するかを検討してください。3段階目で、それらのリスクが顕在化したときの損失価値を測ります。これによってそれぞれのリスクが持つ危険度を具体化できます。
なお、セキュリティを強固にするほど、IoT機器の使い勝手は悪くなり、必要なコストが高くなります。そのため、すべてのリスクに対して完全なセキュリティを求めるよりも、優先すべきリスクを中心に、セキュリティ対策を実行することが大切です。
IoT機器の脆弱性は社会問題!適切なセキュリティ対策を施そう
急速に社会に浸透したIoT機器は、さまざまな脆弱性を抱えています。そのリスクはいまや社会問題を引き起こすほどになりました。事例であげたサイバー攻撃のような被害を生み出さないためにも、IoT機器には適切なセキュリティが必須といえるでしょう。しかしながら、すべてのリスクに対して完全な防衛手段を用意するのは現実的ではありません。適切な防衛目標を設定し、セキュリティ対策を施すことが大切です。
コメント