株式会社ウフルのIoTイノベーションセンターが事務局を務める「IoTパートナーコミュニティ」。
IoTにより実現される「全てがつながる世界」を目指し、コミュニティのメンバー企業が相互に協創しながら、オープンイノベーションを通じてビジネスを創出することを目的としている。
IoT×AIや物流やヘルスケアなど7つのWGのうち「セキュリティ」をテーマとして活動しているコミュニティメンバーにより、「行政の動向と最新のIoTソリューション活用事例」題したIoTセキュリティセミナーが4月24日に開催された。
セミナープログラム第1部では、総務省よりIoTセキュリティに関する政府の動向について、第2部ではWGメンバー企業を中心にIoTセキュリティに関するソリューションや活用事例について紹介された。
IoT機器調査及び注意喚起プロジェクト「NOTICE」について
総務省 サイバーセキュリティ統括官室 参事官補佐 後藤 篤志氏からは、「IoT機器調査及び注意喚起プロジェクト NOTICE(National Operation Towards IoT Clean Environment)」の紹介とその取組みについて講演された。
政府の提唱しているSociety 5.0では、現実世界の様々なデータがサイバー空間にビッグデータとして蓄積されて、これらデータをもとにAIが分析を行い、現実世界にフィードバックすることで少子高齢化や労働力不足問題など、様々な社会課題を解決させようとする流れがある。このような社会を実現させるためにもサイバーセキュリティの確保は重要な課題となっている。
実際、IoT機器に対するサイバー攻撃は年々増加しており、NICTER(※) の観測によると2015年から2017年にかけてサイバー攻撃の総量は2.8倍に増えており、WebカメラやルーターなどのIoT機器だけを見ると約5.7倍に増えている。
有名な大規模DDoS攻撃として2016年の「Mirai」マルウェアによる大障害が紹介された。これは米国のDyn社のDNSサーバに対しDDos攻撃が2回発生し、その結果多数の企業のサービスにアクセスしにくくなる等の障害が発生した。これは10万を超えるIoT機器が「Mirai」というマルウエアに感染し、そこから最大1.2Tbpsもの大量通信が発生したことが原因である。
そのマルウェアに感染した原因が、ネットワーク機器の認証に簡単なIDとPASS(約60通りのパターン)が使用されていたため、容易にそれら機器にアクセスをされてしまったためである。このような類似の類似のIoT機器のマルウェア感染は世界各地で発生しており、攻撃のリスクが高くなる東京オリンピック・パラリンピックを控え、これら対策を動機としてNOTICEが立ち上げられた。
※NICTERとは、NICT(国立研究開発法人情報通信研究機構)のネットワークセキュリティ研究所が開発した、攻撃トラフィックの観測/分析システム(Nicter=Network Incident analysis Center for Tactical Emergency Response)
NOTICEの内容
脆弱なIoT機器が悪質なサイバー攻撃によるマルウェア感染が発生しないよう、まず、NICT(国立研究開発法人情報通信研究機構)は、インターネット上のIoT機器に容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査し、当該機器の情報をインターネットプロバイダに通知する。
インターネットプロバイダは、NICTから受け取った情報を元に当該機器の利用者を特定し、電子メールなどにより注意喚起を行う。
注意喚起を受けた利用者は、注意喚起メールやNOTICEサポートセンターサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を行うというものだ。
また、IoT機器やルーターなどの設定変更やファームウエアのアップデートは専門的な知識を要することもある。それらをサポートするための「NOTICEサポートセンター」が開設され、対応の知識が十分にない場合は相談も可能になっている。
IoTの普及に対応した通信ネットワークの技術基準等に関する政策動向
次に、総務省 総合通信基盤局 電気通信事業部 電気通信技術システム課 課長補佐 影井 敬義 氏からは、IoT機器の通信ネットワークの技術基準の省令改正やガイドラインの策定に関する政策動向について説明がされた。
IoT機器のセキュリティ対策に関する技術基準の検討経緯は、前述の後藤氏より説明のあったセキュリティ対策への危惧と同じ背景がある。
情報通信審議会では「IoTの普及に対応した電気通信設備に技術的条件」について検討を行い、IoT機器の技術基準にセキュリティ対策を追加することが適当であることを2018年9月に取りまとめた。これに対し、情報通信行政・郵政行政審議会への諮問、意見募集、同審議会からの答申を経て、2019年3月に関係省令の改正を実施した。
まず初めに取りまとめた制度改正のポイントは、「アクセス制御機能」、「アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能」、「ファームウェアの更新機能などをIoT通信機器に求めること」である。
これを「端末設備等規則(省令)の改正」や、「ガイドラインの策定の必要性」までを求める内容で答申を取りまとめ、これが、「IoT機器のセキュリティ政策に関する技術基準の改正」のベースとなっている。
端末機器の基準認証に関するガイドライン(第1版)を2019年4月22日に公表
まず、セキュリティ基準に関わる認定等の対象機器の範囲は、
(1)専用通信回線設備等端末でデジタルデータ伝送用設備に接続されるものに限る
(2)デジタルデータ伝送用設備との接続においてインターネットプロトコルを使用するもの
(3)電気通信回線設備を介して接続することにより当該専用通信回線設備等端末に備えられた電気通信の機能(送受信に係るものに限る)に係る設定を変更できるもの
としていると解説された。
その中で、認定の対象外となるネットワーク機器についても解説があった。
上の図にあるように、PCやスマートフォンのように利用者が任意のソフトウェアにより随時かつ容易に変更することができる専用通信回線設備等端末であったり、 既認定機器を介して接続されており、電気通信回線設備に直接接続して使用されない機器、例えば屋外に持ち出して使用されない機器(エアコン、冷蔵庫、洗濯機、照明、テレビ、複合機等)は対象外となる。
セキュリティ基準の内容については、「IDやパスワードなどによるアクセスを制御する機能を有すること」、「IDやパスワードが適切に設定されるよう促す、例えば初期パスワードのまま利用できないよう制御するなどの機能を有すること」、「ネットワーク機器のファームウェア等が更新できる仕組みを有すること」、「ネットワーク機器の電源がON/OFFされたときに前項の設定がリセットされるようなことがないようにすること」などが規定されている。
認定の基準や詳細については、すでに公開をされているガイドラインを参照してほしい。
電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第1版)
ネットワークの仮想化等に対応した技術基準等の在り方
情報通信審議会では前述の「IoTセキュリティ対策の答申」を取りまとめた後、第二次検討として、「ネットワーク仮想化等に対応した技術基準及び資格制度の在り方」について検討を実施してきたたとのことだ。
審議会では、ハードウェアの仮想化に伴う機能の維持や冗長性をどのように確保するかの在り方、通信設備の管理・制御等を行うソフトウェアの機器ベンダー依存やブラックボックス化が生じていることを問題視し、事業者が導入するソフトウエアの信頼性を確認するために検証や試験等が必要であるなどのソフトウェアの信頼性確保の在り方について課題、論点に挙げている。
その検討の結果、「情報通信ネットワーク安全・信頼性基準」に証明書の有効期限の設定のルールや、バックアップの世代管理の在り方などの対策を盛り込む内容をまとめた。
また、仮想化技術の導入により機能の一部がソフトウェア制御されるようになってきている。そのため、ハードウェア設備の構成等を中心に記載されている「電気通信事業者による技術適合自己確認の届出書類」の改定やマニュアルの整備の必要性、さらにはネットワークの維持・管理・運用に求められる専門知識・能力の変化が起きているため、資格制度の制度改正についてもとりまとめを行ってきた。
この取りまとめが次の制度改正の内容につながることになるようだ。
後編の「IoTセキュリティソリューション最新事例」に続く