広告掲載  | 会員登録 

IoT機器を利用者する側のセキュリテイ対策 ーセキュリティ特集 第四回

TOP > ニュース > IoT機器を利用者する側のセキュリテイ対策 ーセキュリティ特集 第四回
セキュリティ特集 足立氏
by

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、今週も国際政治(サイバー)研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

第四回ではIoT機器の脆弱性について把握や対策を利用者として何をすべきかについて解説する。

ネットワークの要、ファイヤーウォールもセキュリティホールに

皆さんのセキュリティを守るためのセキュリティ機器。例えば、「ファイアウォール」。

このファイアウォールが、セキュリティの穴となることもあると言われてしまうと、にわかに信じがたいことではないだろうか?

2016年1月、ルクセンブルクのセキュリティ専門家が、米国セキュリティ企業のセキュリティ製品にこっそりと侵入することができる「バックドア」の存在を明らかにした。

※現在、同セキュリティ企業は、修正のためのプログラムで既に対応済みであるとの発表を行っている。

たしかに、セキュリティ機器にも外部からの不正な侵入を許してしまう脆弱性が存在するということは恐ろしい。ただ、一方で、この出来事は、我々に重要な示唆を与えてくれているとも言える。

それは、ハードウェア型のセキュリティ製品、つまり箱型のものであっても、中身はソフトウェアで動いているということだ。

よく考えてみれば当然と思う方も多いだろう。

そして、セキュリティ製品であっても、保守・メンテナンスを行い、中で動いているソフトウェアを最新のものにしなくては、本来の性能を発揮することができないのだ。怠ると、今回の事例のように不正な侵入さえも許すきっかけを作ることとなってしまう。

IoT機器の管理

セキュリティの観点からまず重要なことは、IoT機器をはじめとしたシステムに繋がる機器が「適切に管理」されていることだ。「適切な管理」とは、

1. システムにどのようなIoT機器や装置などが繋がれているのかを把握する
2. IoT機器のファームウェアなどのプログラムがリリースされた場合、随時更新作業を行なう

といった適切な保守を行うことだ。

システムに繋がれているIoT機器や装置を把握する必要性

これは学校の出欠確認のようなものかもしれない。

まず、今日出席しているのが誰なのかを把握する。そしてお休みしているA君(IoT機器)がインフルエンザ(脆弱性)で欠席だった場合、A君は薬を飲んで(修正用プログラムでファームウェアの更新)元気になってから学校に来てもらわないと、そこからセキュリティ侵害を友人たち(システム)に広めてしまう可能性があるのだ。

ここで、うっかり同じクラスのB君がインフルエンザになっていることに気付かず出席してしまっていた場合に、このクラスにインフルエンザが大流行してしまいかねないことがわかるだろう。

これが、「システムに繋がれているIoT機器や装置を把握する必要性」なのだ。

IoT機器のファームウェアなどのプログラムがリリースされた場合、随時更新作業を行なう

IoT機器や装置が把握できたら、これらのIoT機器や装置に対して適切な保守・メンテナンス作業を行うのだ。

具体的には、IoT機器を開発したメーカーのサポートやホームページなどで、最新の修正用プラグラムが配布されていないか確認をすること。

また、JVN(Japan Vulnerability Notes)と呼ばれる脆弱性対策情報データベースなどを定期的にチェックしていくことは効果的だといえる。

2週間ほど前に、ホームページを管理するソフトウェアに脆弱性が発見され発表されたが、修正用のプログラムが配布されていたものの、米国セキュリティ会社の調査によると最初の1週間で155万サイトが攻撃され、ホームページの内容が改ざんされてしまったという。

このように、誰かが脆弱性について教えてくれていて、そしてその修正プログラムが存在していたとしても、修正プログラムで更新を行うなどの適切な対応がなされていなければ、瞬く間にサイバー攻撃の被害に遭ってしまうのだ。

また、米国の業界団体などが策定しているガイドラインを読んでいくと、「よく訓練された要員も多層防御の一部となる」という意味の記述が多く見受けられる。

セキュリティ対策には、これ一つやっておけば完璧というものは無く、「ドアの一つ一つに鍵を取り付けるかのごとく、何層にもほどこされた多層防御でのセキュリティ対策によって一つずつ積み重ね、リスクを下げていくしかない」ということは多くの場所で語られています。

また、「一人一人がセキュリティ意識を持って携わっていくことも多層防御の一部となり、セキュリティ対策のレベルを高めていくことに繋がる」とも米国のガイドラインでは述べている。

今回書いたことは、非常に簡単なことであり、既に取り組んでいる企業も多いだろう。

しかし、今回敢えてこの内容を取り上げてみたのは、簡単なことの積み重ねこそが、強固なセキュリティ対策への第一歩となるということだからだ。

無料メルマガ会員に登録しませんか?

膨大な記事を効率よくチェック!

IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。

そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。

  • DXに関する最新ニュース
  • 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
  • 実践を重要視する方に聞く、インタビュー記事
  • 業務改革に必要なDX手法などDXノウハウ

など、多岐にわたるテーマが配信されております。

また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。

無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。

無料メルマガ会員登録

DX実践ノウハウ解説

業務プロセスをデジタル化、業務のDXを実現する方法
BPMSで、業務改善にとどまらない、業務改革を行う方法
DX実践講座
DX実践講座
業務改善に活用できるフレームワーク「ECRS」とは
業務プロセス改善のDXで使う「ECRS」とは、具体例や使い方を解説
業務のDXを、ベンダーに頼らず内製化する方法
業務改善のためのDX、5つの基本ステップ
DX人材とは
DX人材の6つの役割と必要なスキル
DXを加速する、アジャイル型組織
DXを加速する、アジャイル型組織とは
攻めのDX、守りのDX
攻めのDX、守りのDX
DXに使えるビジネスフレームワーク5選
DX戦略を作るのに必須となる、5つのビジネスフレームワーク
DX時代の正しい事例の読み解き方(事例マニアにはなってはいけない)
DX時代の正しい事例の読み解き方(事例マニアはNG)

DXトレンド解説

VR/AR メタバース
メタバース、VR・ARの基礎と活用事例
WEARABLE
ウェアラブルとは?ウェアラブルデバイスのビジネス活用事例10選
なぜDX人材が、必要なのか?
DXとは?本質をわかりやすく解説
いまさら聞けないIT・ICT・IoTの違い
IT、IoTとICTとの違い
スマートホームの基礎とトレンド
スマートホームの基礎とトレンド
VUCA時代を生き抜くDX
VUCA時代を生き抜くための、デジタルトランスフォーメーションとIoT
国内・海外のスマートシティDX10選
国内・海外スマートシティDX事例10選
都市のDXが進む「スーパーシティ」構想とは?
都市のDXが進む「スーパーシティ」構想とは?