IoT機器を利用者する側のセキュリテイ対策 ーセキュリティ特集 第四回

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、今週も国際政治(サイバー)研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

第四回ではIoT機器の脆弱性について把握や対策を利用者として何をすべきかについて解説する。

ネットワークの要、ファイヤーウォールもセキュリティホールに

皆さんのセキュリティを守るためのセキュリティ機器。例えば、「ファイアウォール」。

このファイアウォールが、セキュリティの穴となることもあると言われてしまうと、にわかに信じがたいことではないだろうか?

2016年1月、ルクセンブルクのセキュリティ専門家が、米国セキュリティ企業のセキュリティ製品にこっそりと侵入することができる「バックドア」の存在を明らかにした。

※現在、同セキュリティ企業は、修正のためのプログラムで既に対応済みであるとの発表を行っている。

たしかに、セキュリティ機器にも外部からの不正な侵入を許してしまう脆弱性が存在するということは恐ろしい。ただ、一方で、この出来事は、我々に重要な示唆を与えてくれているとも言える。

それは、ハードウェア型のセキュリティ製品、つまり箱型のものであっても、中身はソフトウェアで動いているということだ。

よく考えてみれば当然と思う方も多いだろう。

そして、セキュリティ製品であっても、保守・メンテナンスを行い、中で動いているソフトウェアを最新のものにしなくては、本来の性能を発揮することができないのだ。怠ると、今回の事例のように不正な侵入さえも許すきっかけを作ることとなってしまう。

IoT機器の管理

セキュリティの観点からまず重要なことは、IoT機器をはじめとしたシステムに繋がる機器が「適切に管理」されていることだ。「適切な管理」とは、

1. システムにどのようなIoT機器や装置などが繋がれているのかを把握する
2. IoT機器のファームウェアなどのプログラムがリリースされた場合、随時更新作業を行なう

といった適切な保守を行うことだ。

システムに繋がれているIoT機器や装置を把握する必要性

これは学校の出欠確認のようなものかもしれない。

まず、今日出席しているのが誰なのかを把握する。そしてお休みしているA君(IoT機器)がインフルエンザ(脆弱性)で欠席だった場合、A君は薬を飲んで(修正用プログラムでファームウェアの更新)元気になってから学校に来てもらわないと、そこからセキュリティ侵害を友人たち(システム)に広めてしまう可能性があるのだ。

ここで、うっかり同じクラスのB君がインフルエンザになっていることに気付かず出席してしまっていた場合に、このクラスにインフルエンザが大流行してしまいかねないことがわかるだろう。

これが、「システムに繋がれているIoT機器や装置を把握する必要性」なのだ。

IoT機器のファームウェアなどのプログラムがリリースされた場合、随時更新作業を行なう

IoT機器や装置が把握できたら、これらのIoT機器や装置に対して適切な保守・メンテナンス作業を行うのだ。

具体的には、IoT機器を開発したメーカーのサポートやホームページなどで、最新の修正用プラグラムが配布されていないか確認をすること。

また、JVN(Japan Vulnerability Notes)と呼ばれる脆弱性対策情報データベースなどを定期的にチェックしていくことは効果的だといえる。

2週間ほど前に、ホームページを管理するソフトウェアに脆弱性が発見され発表されたが、修正用のプログラムが配布されていたものの、米国セキュリティ会社の調査によると最初の1週間で155万サイトが攻撃され、ホームページの内容が改ざんされてしまったという。

このように、誰かが脆弱性について教えてくれていて、そしてその修正プログラムが存在していたとしても、修正プログラムで更新を行うなどの適切な対応がなされていなければ、瞬く間にサイバー攻撃の被害に遭ってしまうのだ。

また、米国の業界団体などが策定しているガイドラインを読んでいくと、「よく訓練された要員も多層防御の一部となる」という意味の記述が多く見受けられる。

セキュリティ対策には、これ一つやっておけば完璧というものは無く、「ドアの一つ一つに鍵を取り付けるかのごとく、何層にもほどこされた多層防御でのセキュリティ対策によって一つずつ積み重ね、リスクを下げていくしかない」ということは多くの場所で語られています。

また、「一人一人がセキュリティ意識を持って携わっていくことも多層防御の一部となり、セキュリティ対策のレベルを高めていくことに繋がる」とも米国のガイドラインでは述べている。

今回書いたことは、非常に簡単なことであり、既に取り組んでいる企業も多いだろう。

しかし、今回敢えてこの内容を取り上げてみたのは、簡単なことの積み重ねこそが、強固なセキュリティ対策への第一歩となるということだからだ。

Previous

IBM、複数のウェアラブルデバイスを接続するプラットフォームcognitive hypervisor「Chiyo」を発表

NECと豊田通商、カザフスタンのセキュリティ強化に向けて協業

Next