デジサート、IoTセキュリティ関連での損失が2年で90億円の企業があったと「IoTセキュリティ調査」発表

米デジサート・インクは、「IoTセキュリティの現状に関する調査2018」を新たに実施した。同調査により、企業がビジネスモデルにIoTを取り入れる際の実践方法に誤りがあるために多額の金銭的損失が発生し続けていることが明らかになった。

調査対象となったIoTに積極的に取り組んでいる企業のなかで、IoTのセキュリティ関連で発生した損失が過去2年間で約8,100万ドル（1ドル＝112円換算で約90億7,200万円）になる企業があったという。

同調査は、2018年9月に米国、英国、ドイツ、フランス、日本の重要インフラストラクチャ業界700の企業・組織を対象にReRez Researchによって実施された。日本企業は100社が含まれ、その内訳は企業規模では従業員1万名以上が60％、1000-2499名が23％、2600－9999名が17％、産業別ではエネルギー、スマートグリッド、スマートシティ関連が51％、自動車、鉄道関連の輸送業が25％、医療関連が14％、消費材産業が10％となっている。

同調査の対象企業の83%が、現在IoTが極めて重要であると回答し、92%が今後2年以内に自社に極めて重要になると回答している。

IoTプロジェクトの最大の懸念はセキュリティとプライバシーだという。セキュリティの課題を懸念するという質問への回答は、やや懸念するから極めて懸念するまで、合計で82%に達した。

同調査では、企業がIoTの実装で直面している具体的な課題を明らかにするために一連の質問を行い、回答は、標準的な調査方法論を使って以下3つの階層に分類された。

• 上位企業：問題が少なく、IoTセキュリティの特定側面への対応に精通している企業
• 中間企業：IoTセキュリティの成果スコアが中程度の企業
• 下位企業：多くの問題が発生しており、IoTセキュリティの習得が困難であると答えることが多い企業

過去2年間に回答者の企業で発生したIoT関連のセキュリティインシデントについての質問では、上位企業と下位企業の違いが明白になったという。期間中に下位企業のすべての企業でIoT関連のセキュリティインシデントが発生した一方、上位企業で発生したのは35%のみだったという。また上位企業との比較で、下位企業では次の領域の問題が指摘される傾向があった。

• IoTベースのサービス拒否（DoS）攻撃を受けたとの回答が4.6倍以上
• IoTへの不正アクセスがあったとの回答が4.8倍以上
• IoTベースのデータ漏洩を経験したとの回答が2.3倍近く
• IoTベースのマルウェアまたはランサムウェア攻撃を受けたとの回答が3.3倍

調査対象の日本企業100社で、過去2年間に発生したIoTセキュリティ関連で発生したコストの内訳上位5項目は次の通り。

• 金銭的損害（49％）
• 生産性の喪失（38％）
• 評価・評判の喪失（26％）
• 株式価格（25％）
• 個人のキャリアに与える否定的影響（21％）

日本企業では、過去2年間にIoTセキュリティの損失による金銭的ダメージのうち、法的、コンプライアンス違反による損失が中央値で約255万ドル（1ドル＝112円換算で約2億8560万円となっているという。

上位層の企業でもセキュリティの誤手順はあったが、そのほとんど（約80%）が誤手順に起因するコストは発生しなかったと回答している。セキュリティを成功させる実践方法として、上位層の企業からは以下が挙げられた。

• 機密データを暗号化する
• 伝送中のデータの整合性を確保する
• 規模に応じてセキュリティ対策を拡張できるようにする
• オンラインによるアップデートによりセキュアに保つ
• ソフトウェアベースの暗号鍵ストレージをセキュアにする

デジサートのIoTセキュリティ担当バイスプレジデントであるマイク・ネルソン（Mike Nelson）氏は、次のように述べている。「IoTの実装を迅速化させる際は、効率の向上とセキュリティ/プライバシーの維持とのバランスが重要です。セキュリティのベストプラクティスを実践する企業では、接続デバイスへの攻撃に対するリスクと結果的な損害が抑制されていることが今回の調査でわかりました。一方、認証と識別、暗号化と整合性といったIoTセキュリティのベストプラクティスの採用は増加しているようで、企業は何が問題であるかを理解しはじめています。」

同調査では、IoTに取り組む企業が上位層の企業と同様に成功するための5つの項目を発表した。

1. リスクを見直す
   接続デバイスに対するペネトレーション（侵入テスト）を実施し、リスクのアセスメント（評価）を行う。そして、認証や暗号化などセキュリティの主要な懸念事項に対処するための優先リストを作成。強力なリスクアセスメントによって、接続されたセキュリティ環境に漏れがないようにしておく。
2. すべてを暗号化する
   接続デバイスの使用方法を評価するにあたり、保管されたあるいは送信中のすべてのデータが暗号化されていることを確認。エンドツーエンドの暗号化を製品の必須条件とすることで、すべてのIoTプロジェクトにこの重要なセキュリティ機能が導入されていることを確認する。
3. 常に認証する
   デバイスへのすべての接続を、デバイスとユーザーの両面から見直し、そして認証スキームが信頼できる接続だけをIoTデバイスに許可していることを確認。電子証明書を使うことで、暗号プロトコルの利用と個体の認証を同時に提供する。
4. 完全性の実装
   デバイスとデータの完全性の基本として、デバイス起動時には常にセキュアブートを実行し、OTA（オン・ザ・エアー：オンラインで常に最新に）アップデートを行うことで安全を保ち、そしてコードサイニングを使用することによりデバイス上で実行されるすべてのコードの完全性を確保するようにする。
5. 拡張性を考量して戦略を立てる
   IoT導入をサポートできる拡張性があるセキュリティフレームワークとアーキテクチャがあることを確認。それに応じて計画を立て、そしてその目標達成を助けられるだけの規模と専門知識を持ったサードパーティの協力を仰ぎ、自社本来の業務に集中できるようになる。

調査の詳細は、デジサートのホームページを参照。

【関連リンク】
・デジサート（DigiCert）