IoTの3つの特性からみる4つのセキュリティ課題

Aug 10, 2020
1 minutes
... views
header image

はじめに

モノのインターネット "Internet of Things (IoT)" という言葉が誕生して20年以上経ちました。IoTの定義はいくつもありますが、多くの人の共通認識は「PCや携帯電話以外の機器でネットワークにつながるもの」ではないでしょうか。

こうしたネットワークにつながるモノの有用性が認識され、広く利用されるようになったのは2011年ごろと言われています。様々な業界や職場、そして家庭に急速に普及したIoT機器は、その利便性だけでなくセキュリティの問題も顕在化させることになりました。

本稿ではIoTをとりまく現状とその特性から必要なセキュリティ対策について取り上げます。

IoTの3つの特性と4つの課題

IoTがカバーする領域は広く、その形態、利用法、環境などは多岐にわたりますが、セキュリティの観点から見た場合、以下の3つの特性と4つの課題があげられるでしょう。

特性 1:特化した機能

IoTと呼ばれる機器は、センサーなど低価格で大量設置されるようなものから、医療現場で使われる高価な設備までと幅広く、その数も種類も加速度的に増加しています。総務省が発行した「令和元年版情報通信白書」によると、世界のIoTデバイス数は軍事・産業・コンシューマなど様々な分野で増加しつづける見込みで、2021年には合計約448億台に達することが予想されています。

こうしたIoTの利用、数、種類の増加に比例するのが、自組織の機器をすべて把握し、一貫したセキュリティを提供することの難しさです。したがってこの特性からみたIoTの1つ目の課題は数・種類ともに膨大なIoT機器の適切な管理の難しさ」ということになります。

同じ特性は、さらに別の課題も生みだしています。一般的なIoT機器は、パソコンやスマートフォンのような汎用性は求められず、製造コストを抑えて特定機能だけを提供することが求められています。これはつまり、後からセキュリティ機能を機器に追加しようとしてもできない場合が多い、ということを意味します。したがって、2つ目の課題はIoT機器は後付けでセキュリティ対策がしづらい」ということになります。

特性 2: 長いライフサイクル

特化した機能という特徴を持つIoT機器の製品ライフサイクルは長くなる傾向があります。単機能ゆえに壊れにくいのもその理由の1つですし、高額な設備の投資費用を長期的に回収するよう計画している場合もあります。

こうしてIoT機器の利用開始から停止までの期間が長くなり、メーカー保守期間が終了しても利用されつづけてしまうと、それだけセキュリティリスクは高くなります。なぜなら、IoT機器はハードウェアだけでなく、オペレーティングシステム(OS)やライブラリ、アプリケーションといったソフトウェアから構成されており、そうしたソフトウェアの不具合や脆弱性に対するサポートは一般的に、それぞれのベンダーのソフトウェア保守期間内に限られるからです。

したがって本特性から生じる3つ目の課題は「製品ライフサイクルによって不具合や脆弱性対策が提供される保守期間を超えても利用されつづける」ことです。たとえば弊社の調査では、医療用画像診断装置の83%はサポートが終了したOS上で動作しており、情報漏洩などの攻撃を受けやすい状況を招いていることがわかっています。

特性 3: 既存技術がベース

IoT機器の多くは、パソコンのOSやアプリケーションなどの既存IT技術をベースにしています。長い時間をかけて蓄積されてきたソフトウェア資産を利用して迅速に開発し、市場に提供できることはその強みの1つです。

その反面、既存技術と同様にマルウェアの攻撃を受けてしまう弱点も抱えています。たとえば、大規模DDoS攻撃に悪用されてきたマルウェア「Mirai」はソースコードが公開されており、多くの攻撃者が今も活発に亜種を生み出しては様々なIoT機器をターゲットに感染を広げています。

つまり、既存技術の流用が、リスクの流用をも招いているといえます。したがって、本特性にまつわる4つ目の課題は、既存技術をベースにしていることにより既存技術と共通のマルウェア リスクがある」ということになります。

IoTセキュリティの計画

IoT機器のセキュリティ対策には、これら4つの課題を解決する必要があります。

課題 1: 数・種類が多い

事業部門が導入した機器をすべてIT部門やセキュリティ部門が把握しているとは限りません。導入を申請制・許可制にしていても、増え続けるIoT機器をひとつひとつ手作業で管理するのは難しいですし、制度が導入障壁となってイノベーションを阻害する可能性や、許可を得ないシャドーITの温床を生む可能性もあります。IoT機器の把握・管理には自動化が必要です

IoT機器は利用される場所もさまざまです。たとえば、オフィス内で利用されるプリンタ、工場で利用されるICS、組織ネットワーク外に設置され、クラウドでデータを収集する気象センサーなどがあります。したがって、場所や種類に関係なく一貫したセキュリティ対策を行うことができなければ、組織のガバナンスは低下し、リスクは増加し、セキュリティ部門の負荷は高まることになります。既存のセキュリティ運用に必要なIoT対策をシームレスに統合することもチャレンジの1つといえます。

課題 2: セキュリティ対策を後付けできない

一般のパソコンやサーバーと異なり、IoT機器の大半はエンドポイントセキュリティ製品を導入することができません。ネットワークレイヤーでIoT機器の活動を可視化し、ポリシーを適用することで、セキュリティの保護を行う必要があります。

課題 3: 保守期限切れによる不具合や脆弱性が残っている

利用中の全てのIoT機器に影響する脆弱性はどのようなものがあるのかを調べ、そのリスクの高低を判断し、必要なセキュリティ施策を行う必要があります。しかし、2019年の脆弱性の総数は2万2000件を超えたという報告があり、平均すると1日に約60件の新しい脆弱性が見つかっていることになります。定期的に脆弱性を調査して手動で管理するのでは到底間に合わないことがわかります。脆弱性を含めたリスク査定を自動化し、必要なアクションをすぐに起こせるようにすることが重要です。

課題4: 既存技術と同じマルウェアに狙われる

課題2でも取り上げたように、ほとんどのIoT機器はアンチウイルス製品をインストールできず、ネットワークレイヤーでマルウェア対策を行う必要があります。したがって、既知の脅威をブロックするだけでなく、攻撃者によって生産され続けている未知の脅威にも対応できる能力をもつ必要があります。

まとめ

IoTはここ10年で活躍の場を大きく広げてきましたし、今後も様々な分野で利用されていくでしょう。特に国内ではサイバー技術を利用した新たな社会を目指す科学技術政策Society 5.0をベースに、AIやIoTを活用したスマートシティへの取り組みが加速しています。

家庭や産業だけでなく、都市そのものの機能がIoT化されると、攻撃による被害は甚大になりかねません。IoTは様々な場面で今後も重大な役割をはたすこととなるため、機器の導入から利用終了まで可能な限り自動化した適切なセキュリティ施策によるリスクコントロールを行うことが求められます。

IoTセキュリティについての詳細情報ならびに対策については次の資料も合わせてご確認ください。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.