IoTのセキュリティの基礎知識

IoT機器は年々増加しており、2020年には400億個の機器がインターネットに接続されると言われている。一方で、IoT機器を狙う脅威は年々増加しており、2017年から2018年で1IPアドレスあたりの攻撃回数は1.4倍に増加している。

しかし、IoT機器はセキュリティが万全でないことが多い。PCやスマートフォンに比べ脆弱性があること、インターネットに常時接続されているため脅威にさらされ続けていること、機器の寿命が長いため管理者不在になってしまうことなどが原因だ。

そのため、大きな問題に発展する危険性がある。2016年にはDNSサービス会社のダインがDDoS攻撃を受けたことで、TwitterやAmazon、CNNのWebサイトに接続できないといった大規模なインターネット接続障害が発生した。推定10万台のデバイスから受けたDDoS攻撃が原因で、そのデバイスの多くはマルウェア「Mirai」に感染していた。

日本でも、IoTセキュリティ関連で、過去2年間で少なくとも8100万ドルの損失が報告されている。(デジサートジャパン合同株式会社の調査による)

IoTセキュリティ対策に必要な3つの側面

IoTセキュリティは、必要な段階で必要な対策を行う必要がある。ここでは、IoTシステムの階層構造、対策の手順、脅威の種類という3つの側面に関して説明する。

IoTシステムの階層構造とセキュリティ

IoTシステムを階層に分けると機器、ネットワーク、プラットフォーム、アプリケーションの4つになる。各階層にそれぞれ脅威が想定され、その脅威に応じた対策が必要になる。

セキュリティ対策の手順

IoTセキュリティ対策を講じるためには、適切なタイミングで適切な処置を行うべきである。セキュリティを企画・設計段階に考慮する、セキュリティ・バイ・デザインを基本原則とし、これが確保されていることを、当該システムの稼働前に確認・検証できる仕組みが求められる。運用後も、情報発信・共有を行い、安全安心な状態を維持する必要がある。

脅威の種類

IoTシステムを狙う脅威には様々な種類があり、各脅威によって対象や攻撃方法が異なる。それぞれの脅威に応じた対策が必要になり、その対策は機器間や各システムをまたぐものもある。
例えば、DDoS攻撃であれば、プラットフォームに対して、アクセス制御やDoS対策ツールの導入などの対策を行う必要がある。

日本政府の取り組み

オリンピック・パラリンピック等の国際的なイベントでは、攻撃者を刺激し、リスクが高まることが想定される。過去のオリンピックでも、大規模なサイバー攻撃によって開会式において一部サービスが利用不可になるなどのトラブルが発生した。

2020年オリンピック・パラリンピック東京大会などを控え、日本国内でもIoT機器を狙ったサイバー攻撃の対策の必要性が高まっている。

総務省では、現在使用されているIoT機器の対策、今後発売されるIoT機器の対策を実施している。また、IoTセキュリティガイドラインを作成し、セキュリティ確保への取り組みを促進させている。

NOTICE(National Operation Towards IoT Clean Environment)

NOTICEは、情報通信研究機構(NICT)が、サイバー攻撃に悪用される恐れのある機器を調査し、電気通信事業者を通じて利用者へ注意喚起を行う取り組みである。

インターネット上のポートが空いているIoT機器に、容易に推測されるパスワードをランダムに当てる。IoT機器は、IDやパスワードが初期設定のまま接続されているケースが多く、その場合簡単に乗っ取りを許してしまう。NICTはそのような機器を見つけることで注意喚起を行っている。

IoTの普及に対応した電気通信設備の技術基準等に関する制度整備

今後製品化されるIoT機器が悪用されないようにする対策として、IoT機器の技術基準にセキュリティ対策を追加するための省令改正が行われた。

下記3点の機能を持つことが技術標準に追加された。

アクセス制御機能

IoT機器に対する外部からの入り口に入る際に、利用者を識別できることが必要になる。利用時にIDとパスワードを求める機能が必要である。

初期設定のパスワードの変更を促す等の機能

同じ機器に同じIDやパスワードが設定されている場合、ひとつの機器に侵入された時、同じ機器全てに侵入を許してしまう。そのような状況を防ぐために、初回利用時に利用者にパスワードの変更を促す機能や、機器ごとに異なるパスワードを設定する機能が必要である。

ソフトウェアの更新機能

IoT機器を脅威から守るためには、ソフトウェアを更新し、常に新たな脅威に対応できるようにするべきである。ソフトウェアを更新し、最新に保つ機能が必要である。

IoTセキュリティガイドライン

経済産業省及び総務省が開催した「IoT推進コンソーシアム IoTセキュリティワーキンググループ」内でIoTセキュリティガイドラインは取りまとめられた。

IoT機器やシステム、サービスの提供にあたってのライフサイクル(方針、分析、設計、構築・接続、運用・保守)における指針を定めるとともに、一般利用者のためのルールを定めたものである。

Previous

スマートビルディング・施設における「トイレ」への様々な取り組み

epiST Ventures、AI・IoT・ロボティクス等を注力テーマとした大学発ベンチャー・技術者ベンチャーに投資を行うファンド設立

Next