広告掲載  | 会員登録 

IoTのセキュリティの基礎知識

TOP > ニュース > IoTのセキュリティの基礎知識
by

IoT機器は年々増加しており、2020年には400億個の機器がインターネットに接続されると言われている。一方で、IoT機器を狙う脅威は年々増加しており、2017年から2018年で1IPアドレスあたりの攻撃回数は1.4倍に増加している。

しかし、IoT機器はセキュリティが万全でないことが多い。PCやスマートフォンに比べ脆弱性があること、インターネットに常時接続されているため脅威にさらされ続けていること、機器の寿命が長いため管理者不在になってしまうことなどが原因だ。

そのため、大きな問題に発展する危険性がある。2016年にはDNSサービス会社のダインがDDoS攻撃を受けたことで、TwitterやAmazon、CNNのWebサイトに接続できないといった大規模なインターネット接続障害が発生した。推定10万台のデバイスから受けたDDoS攻撃が原因で、そのデバイスの多くはマルウェア「Mirai」に感染していた。

日本でも、IoTセキュリティ関連で、過去2年間で少なくとも8100万ドルの損失が報告されている。(デジサートジャパン合同株式会社の調査による)

IoTセキュリティ対策に必要な3つの側面

IoTセキュリティは、必要な段階で必要な対策を行う必要がある。ここでは、IoTシステムの階層構造、対策の手順、脅威の種類という3つの側面に関して説明する。

IoTシステムの階層構造とセキュリティ

IoTシステムを階層に分けると機器、ネットワーク、プラットフォーム、アプリケーションの4つになる。各階層にそれぞれ脅威が想定され、その脅威に応じた対策が必要になる。

セキュリティ対策の手順

IoTセキュリティ対策を講じるためには、適切なタイミングで適切な処置を行うべきである。セキュリティを企画・設計段階に考慮する、セキュリティ・バイ・デザインを基本原則とし、これが確保されていることを、当該システムの稼働前に確認・検証できる仕組みが求められる。運用後も、情報発信・共有を行い、安全安心な状態を維持する必要がある。

脅威の種類

IoTシステムを狙う脅威には様々な種類があり、各脅威によって対象や攻撃方法が異なる。それぞれの脅威に応じた対策が必要になり、その対策は機器間や各システムをまたぐものもある。
例えば、DDoS攻撃であれば、プラットフォームに対して、アクセス制御やDoS対策ツールの導入などの対策を行う必要がある。

日本政府の取り組み

オリンピック・パラリンピック等の国際的なイベントでは、攻撃者を刺激し、リスクが高まることが想定される。過去のオリンピックでも、大規模なサイバー攻撃によって開会式において一部サービスが利用不可になるなどのトラブルが発生した。

2020年オリンピック・パラリンピック東京大会などを控え、日本国内でもIoT機器を狙ったサイバー攻撃の対策の必要性が高まっている。

総務省では、現在使用されているIoT機器の対策、今後発売されるIoT機器の対策を実施している。また、IoTセキュリティガイドラインを作成し、セキュリティ確保への取り組みを促進させている。

NOTICE(National Operation Towards IoT Clean Environment)

NOTICEは、情報通信研究機構(NICT)が、サイバー攻撃に悪用される恐れのある機器を調査し、電気通信事業者を通じて利用者へ注意喚起を行う取り組みである。

インターネット上のポートが空いているIoT機器に、容易に推測されるパスワードをランダムに当てる。IoT機器は、IDやパスワードが初期設定のまま接続されているケースが多く、その場合簡単に乗っ取りを許してしまう。NICTはそのような機器を見つけることで注意喚起を行っている。

IoTの普及に対応した電気通信設備の技術基準等に関する制度整備

今後製品化されるIoT機器が悪用されないようにする対策として、IoT機器の技術基準にセキュリティ対策を追加するための省令改正が行われた。

下記3点の機能を持つことが技術標準に追加された。

アクセス制御機能

IoT機器に対する外部からの入り口に入る際に、利用者を識別できることが必要になる。利用時にIDとパスワードを求める機能が必要である。

初期設定のパスワードの変更を促す等の機能

同じ機器に同じIDやパスワードが設定されている場合、ひとつの機器に侵入された時、同じ機器全てに侵入を許してしまう。そのような状況を防ぐために、初回利用時に利用者にパスワードの変更を促す機能や、機器ごとに異なるパスワードを設定する機能が必要である。

ソフトウェアの更新機能

IoT機器を脅威から守るためには、ソフトウェアを更新し、常に新たな脅威に対応できるようにするべきである。ソフトウェアを更新し、最新に保つ機能が必要である。

IoTセキュリティガイドライン

経済産業省及び総務省が開催した「IoT推進コンソーシアム IoTセキュリティワーキンググループ」内でIoTセキュリティガイドラインは取りまとめられた。

IoT機器やシステム、サービスの提供にあたってのライフサイクル(方針、分析、設計、構築・接続、運用・保守)における指針を定めるとともに、一般利用者のためのルールを定めたものである。

無料メルマガ会員に登録しませんか?

膨大な記事を効率よくチェック!

IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。

そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。

  • DXに関する最新ニュース
  • 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
  • 実践を重要視する方に聞く、インタビュー記事
  • 業務改革に必要なDX手法などDXノウハウ

など、多岐にわたるテーマが配信されております。

また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。

無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。

無料メルマガ会員登録

DX実践ノウハウ解説

業務プロセスをデジタル化、業務のDXを実現する方法
BPMSで、業務改善にとどまらない、業務改革を行う方法
DX実践講座
DX実践講座
業務改善に活用できるフレームワーク「ECRS」とは
業務プロセス改善のDXで使う「ECRS」とは、具体例や使い方を解説
業務のDXを、ベンダーに頼らず内製化する方法
業務改善のためのDX、5つの基本ステップ
DX人材とは
DX人材の6つの役割と必要なスキル
DXを加速する、アジャイル型組織
DXを加速する、アジャイル型組織とは
攻めのDX、守りのDX
攻めのDX、守りのDX
DXに使えるビジネスフレームワーク5選
DX戦略を作るのに必須となる、5つのビジネスフレームワーク
DX時代の正しい事例の読み解き方(事例マニアにはなってはいけない)
DX時代の正しい事例の読み解き方(事例マニアはNG)

DXトレンド解説

VR/AR メタバース
メタバース、VR・ARの基礎と活用事例
WEARABLE
ウェアラブルとは?ウェアラブルデバイスのビジネス活用事例10選
なぜDX人材が、必要なのか?
DXとは?本質をわかりやすく解説
いまさら聞けないIT・ICT・IoTの違い
IT、IoTとICTとの違い
スマートホームの基礎とトレンド
スマートホームの基礎とトレンド
VUCA時代を生き抜くDX
VUCA時代を生き抜くための、デジタルトランスフォーメーションとIoT
国内・海外のスマートシティDX10選
国内・海外スマートシティDX事例10選
都市のDXが進む「スーパーシティ」構想とは?
都市のDXが進む「スーパーシティ」構想とは?