総務省・経済産業省が提示している「IoTセキュリティガイドライン」は、IoTを活用する上で「国民が安全で安心して暮らせる社会を実現するため」に注意すべき内容をまとめたガイドラインのことです。企業でIoTを導入するなら、ガイドラインを基にしたセキュリティ対策を講じることが求められます。
IoTセキュリティガイドラインが生まれた背景
テクノロジーが進化し、ここ数年で「モノのインターネット」と呼ばれるIoT(Internet of Things)が一気に普及してきました。2020 年には約530 億個のIoT 機器が利用されるという予測もあり、わたしたちの周りでも特別なものではなく当たり前の技術になりつつあります。身近なビジネスの世界でも機械の故障検知からAmazon Goのような無人店舗まで、IoTを活用した事例が増えてきています。
IoTが普及しあらゆるモノがインターネットにつながる一方で、不正アクセスなどの問題が発生しているのも事実です。その対策として、総務省・経済産業省によりIoT機器のセキュリティ対策指針「IoTセキュリティガイドライン」が作成されました。
そもそもIoTとは何なのか?
従来、インターネットを利用するにはパソコンを使うのが一般的でした。しかし、近年はスマートフォンをはじめ、テレビ、オーディオ機器、さらには冷蔵庫やお掃除ロボのような家電までもがインターネットに接続されています。このような「モノのインターネット」と呼ばれる技術がIoTです。
IoTでは、センサー・ゲートウェイ(不要な場合もある)・サーバー間でデータ通信を行います。「モノの状態をセンサーで取得し、それに対して何らかのアクションをする」技術です。温度や湿度、音などの情報をクラウド上にあるサーバーへ送信し、そこで集計・処理した結果を基にフィードバックします。例えば、スマートフォンはセンサーの塊ともいえる機器です。内蔵されたセンサーによって、方向や傾き、脈拍や体温といった状態までを取得できます。
IoTの事例としては、最近商業施設などで増えてきたトイレの空き情報をお知らせするサービスがあります。トイレの個室に人が入っているかどうかをドアに設置したセンサーが取得し、サーバーに情報を送ってアプリ上で「空室/満室」の表示を行うものです。
IoTが急速に普及する一方で、悪用されることも
IoTにより、トイレのドアや工場機械、人間の身体など、今までインターネットに接続されていなかったモノがインターネットに接続できるようになりました。これにより、新しいサービスの登場や自動化が進むなど、多くの恩恵を受けられるようになったのです。しかし、恩恵がある一方、不正アクセス対策やウイルス防止といったセキュリティ上の課題が浮かび上がりました。PCのような電子機器と同じようなセキュリティ対策が欠かせなくなっています。
近年では監視カメラやルーターなどのIoT機器を標的にしたマルウェア(コンピューターウイルス等の総称)も登場しています。2016年にはMiraiと呼ばれるマルウェアが世界中に蔓延し、各所でサーバーを攻撃するなど大きな被害を生みました。IoT機器はセキュリティ対策が十分でないものが多く、しかも総数が膨大だということもあり、被害に遭う件数も増加する一方です。
「IoTセキュリティガイドライン」に学ぶセキュリティ対策方法
IoT機器に関するセキュリティ対策の重要性が高まっていることを背景に、2016年、経済産業省と総務省は「IoTセキュリティガイドラインver1.0」を策定・公表しました。
機器の企画や設計の段階からしっかりとセキュリティ対策を行う「セキュリティ・バイ・デザイン(Security by Design)」を基本原則としつつ、関係者が取り組むべき対策を明文化したものです。対策を明確にすることでメーカーがIoT機器を開発しやすくし、利用者が安心してIoT機器やシステム、サービスを利用できる環境になることを目指しています。
IoTの性質を理解し、セキュリティの重要性を学ぶ
セキュリティ対策を行うには、IoTの性質を理解し、メリット・デメリットを把握することが大切です。特に経営者は、IoTによる問題が起きた場合はリスク対応をとらなければならず、経営責任が問われることもあるため、注意深く検討する必要があります。
ガイドラインを基に自社の状況に合った基本方針を策定して社内に周知するとともに、継続的に実現状況を把握し、見直していきましょう。
過去の事例を参考に、IoTのリスクを認識する
まずはIoTの使用によって、インターネットにつながるということを理解しましょう。PCと違い、どうしてもWebカメラやルーターといったIoT機器は、セキュリティ対策がおろそかになりがちです。しかしリスク程度は同じかそれ以上で、セキュリティが弱い箇所から侵入されてしまえば、そこからネットワークにつながり重要な情報が外部に漏洩してしまう恐れがあります。
近年のサイバー攻撃は機器の脆弱性を狙った無差別な攻撃が増えており、弱い部分を放置しておくことは大きなリスクです。
例えば、社内に設置されている監視カメラがハッキングされ、重要な映像が丸ごと盗み見られてしまう事例が多数報告されています。また、ルーターのID・パスワードを初期設定のままにしていたことから容易にハッキングされ、そこから社内のファイルサーバーに侵入されて重要なデータが盗まれたという例もあります。
IoT機器の場合、ファームウェアのアップデートを見落としやすく、通常のPCよりもセキュリティリスクが高い状態のことが多いでしょう。コピー機のように普段はネットワークにつながっていることを意識しない機器でも、脆弱性をついて侵入される恐れがあります。さらには内部の人間によって不正にアクセスされる危険性も無視できません。PCではなくてもネットワークにつながっている機器には、セキュリティ上のリスクがあることを正しく理解する必要があります。
機器や人に迷惑をかけないよう設計する
インターネットにつながっていることで、予期しない機器やセキュリティ面で信頼性が低い機器が、勝手に接続され利用されてしまう場合があります。そのような状況でIoT機器やシステムに異常が発生した場合、他の機器に影響を及ぼさないよう、当該機器を速やかにネットワークから遮断するなどといった対応が求められます。当該機器を切り離した後は、迅速に復旧させ、原因を検証できるような設計をしておくことが重要です。
予算や人材は限られているので、機器を監視しつつ異常時にはどこまで機能を制限するか、またどのように回復するかなどを踏まえて運用方針を決めるようにしましょう。
ネットワーク上における対策も必要
IoT機器の運用に際しては、機能や用途に応じてネットワーク構成やセキュリティ機能の検討を行うことが重要です。ネットワークを安全にインターネットに接続するためのセキュアゲートウェイを用いるなど、対策を検討します。
また、ルーターであれば初期設定と同じID・パスワードを使用しないという基本的な対策が有効です。また不正なユーザーが侵入したり盗聴を行ったりしないよう、認証や暗号化等の仕組みを導入するのも一定の効果が見込めます。
製品の出荷・リリース後も慎重に運用・保守にあたる
機器を開発するメーカーは、ソフトウェアやファームウェアを機器へ配布し、製品出荷後に脆弱性が発見された場合に備えて、アップデートする手段を提供します。また、脆弱性が発見された場合には、メーカー側は速やかに該当するIoT機器の管理者に対して、注意喚起を行う必要があります。
双方向で通信可能なPCであればソフトウェアのアップデートは比較的容易ですが、簡易なルーターやセンサーなどのスペックが低い機器の場合は、通信が一方向ということもありえます。その場合は、何らかの形でファームウェアをアップデートできる方法を提供しているはずです。そのような機器を利用している場合は、メーカーサイト等で確認するようにしましょう。
IoT技術はさまざまなモノに導入されているため、すべての関係者がセキュリティに対する方針を共有することが重要です。問題が発生したときに速やかに対応できるよう、事前に各々の役割分担を決めておきましょう。
まとめ
IoTはこれから非常に成長が期待されている分野です。自分の身の回りや自社のビジネスなどでIoT機器を利用する機会が増え、利便性も向上するでしょう。一方でセキュリティ面でのリスクも高まっていきます。利用する企業や個人はIoT機器のリスクを正しく把握したうえで、対策を行っていく必要があります。
