現在、世界でどれくらいのIoT機器が流通しているかをご存知でしょうか?総務省が発表した「令和元年版 情報通信白書」によると、2020年には394億台ものIoT機器がインターネットに接続されると見込まれています。つまり、世界人口の5倍ほどのIoT機器が流通するということです。さらに、次世代通信規格である5Gが本格的に普及すれば、IoT機器は今後爆発的に増えていくと予測されています。
そもそもIoT(Internet of Things / 物のインターネット)とは、電子製品に限らずあらゆる物をネットワーク接続可能な機器に変化させることで、そこから生まれるデータを元に付加価値を提供することを目的としています。
産業ロボットや監視カメラ、それらを通じて収集したデータを分析して工場内の生産ラインをデジタル的に制御するスマートファクトリーも、IoT機器を活用した一例と言えます。また、製造業ではモノを販売する従来のビジネスモデルから、IoT機器を通じて情報を利活用することを活用しコトをサービスとして提供するビジネスモデルへと変換しています。
あらゆる産業での期待感が高まっているIoT機器ですが、その一方でセキュリティの不安は拭えません。例えば産業ロボットに搭載しIoT機器がハックされれば、生産ラインの生産能力や生産状況、製品データなどが外部へ漏洩する可能性があります。家電型のIoT機器からデータ漏洩が起これば、プライバシーに関わる情報が外部へ流出する可能性もあるでしょう。
この状況を懸念し、総務省では2020年4月より電気通信事業法における「端末設備等規則」の改正法を施行しています。本記事では、IoT機器製造事業者が対応すべきセキュリティ対策の義務化と、IoT機器におけるセキュリティ対策の基本をご紹介します。
IoT機器は狙われやすい?
実は、世界中でIoT機器がサイバー犯罪者から狙われている明白な理由があります。多くのIoT機器は小型化、軽量化、低コスト化を実現するために本来の用途以外に必要な機能を搭載しておらず、CPUの処理能力やメモリも最低限のものになっています。そのためマルウェア対策ソフトなどを導入する余地がほとんどのケースにおいてありません。さらに、IoT機器にはディスプレイが無く機器の状態を知るための情報を素早く得られないことが多いため、ユーザーはIoT機器の異変に気づきません。つまり、サイバー犯罪者にとっての好条件が揃っているのです。
実際に、2015年から2018年にかけてサイバー攻撃件数は4倍近く増加しており、その約半数がウェブカメラやルーターなどのIoT機器を狙ったものと言われています。2016年には米国にてMiraiと呼ばれるIoT機器をターゲットにしたマルウェアが流行し、大量のIoT機器を踏み台にした大規模な接続障害攻撃(DDoS)が発生しました。Miraiに感染したIoT機器にはボットネットと呼ばれる不正操作のためのプログラムが自動的に組み込まれ、ユーザーの知らない間にDDoS攻撃に加担したことになります。中には日本に設置されたIoT機器が含まれていたという報告もあります。
さらに、IoT機器を使用不能にするものやデータの盗聴・改ざんを行うマルウェアも報告されており、ウェブカメラ映像が盗聴されたりインターネット上にアップされてしまう事例も増えています。
世界最大のセキュリティカンファレンスであるブラックハットUSAにて、自動車のWi-Fiシステムをハッキングし、車両の音楽プレイヤーを不正に操作していきなり大音量で音楽をかけたり、GPSデータを取得して追跡することが可能だということが証明されています。
IoT機器がビジネスやプライベートにもたらす利便性は計り知れませんが、それだけにサイバー攻撃による重大な事故につながるリスクが隠れているのです。
総務省によるIoT機器セキュリティの義務化とは
では、IoT機器のセキュリティに対して総務省が義務化したIoT機器セキュリティとは一体何なのでしょうか?
大きくは「パスワードによる認証などのアクセス制御機能」、「出荷時の初期パスワードの変更を促す機能」、「ソフトウエアの更新機能」といった最低限のセキュリテイ対策を実施することです。
パスワードによる認証などのアクセス制御機能
ウェブサービス等を安全に利用するために、ユーザーアクセスの際に所定のパスワードを入力させる認証方法は基本的なセキュリティ対策ですが、IoT機器の場合最低限のリソースしか搭載していないことから基本のセキュリティ対策すら実装できないケースが多くありました。しかし、パスワードが設置されないIoT機器は不正に利用される可能性が高く、ユーザー自身にもその周囲にも危険を及ぼします。
そのため、簡素なIoT機器であってもパスワードによる認証などのアクセス制限機能を設け、最低限のセキュリティ対策を実施することを義務付けています。
出荷時の初期パスワードの変更を促す機能
パスワードが設定可能なIoT機器を製造しても、それが出荷時の初期パスワードから変更されなければリスクは低減しません。しかし、ユーザーの中にはセキュリティ対策に対して無頓着で、初期設定のままパスワードを変更しないケースも多く見受けられます。セキュリティ性を高めるには確実に初期パスワードを変更し、ユーザー独自のユニークなパスワードを設定させることが重要です。これを促す機能を実装するのもIoT機器製造事業者にとっての義務となります。
ソフトウエアの更新機能
IoT機器にも他のソフトウェア同様に脆弱性の危険性があります。この脆弱性に対応するためには定期的なアップデートを実施する必要があるのです。そのため、IoT機器製造事業者が配信したアップデートに確実に対応するような機能を搭載することも義務化されている要項です。
IoT機器を安全に提供・運用するために
上記の義務化されたセキュリティ対策以外でIoT機器の安全性などを確保するためには、まず信頼性の高いクラウドプラットフォームを選択することが重要です。無数のIoT機器から大量のデータを収集蓄積するクラウドプラットフォームが、どれくらいのセキュリティ基準を実現しているかによってリスクは大きく変動します。また、柔軟にコントロール可能なこともIoT機器セキュリティに欠かせない条件です。Microsoft Azureなど、世界的に提供された信頼性の高いクラウドプラットフォームにご注目ください。
