「真正性」「ライフサイクル」「サプライチェーン」で読み解くIoTセキュリティ動向―サイバートラストオンラインセミナーレポート１

2020年5月14日、サイバートラストはオンラインセミナー「押さえておきたい！IoT機器のセキュアなライフサイクル管理とは」を開催した。このセミナーでは、IoT機器、組込みシステムの開発担当者に向けて、IoTセキュリティに関する国内外の最新動向や、製品ライフサイクル全体におけるセキュリティ管理を行うソリューションが紹介された。

本稿では、一般社団法人セキュアIoTプラットフォーム協議会　事務局長　白水公康氏によるセッション「IoTセキュリティ最新動向」についてレポートする。

市場にある70%のIoTデバイスがセキュリティに脆弱性を抱える

まず、白水氏はIoTデバイスが増大していること、それに伴いセキュリティ攻撃のリスクが拡大している現状を述べた。

総務省が発行する「令和元年版情報通信白書」によると、世界のIoT機器数は年平均で14.8%増の成長を見せており、2020年には394億台まで伸びると予測される。白水氏の言葉を借りれば、IoT機器そのものが社会を支えるインフラになりつつある、と言える。

IoT機器のセキュリティの脆弱性が、ミッションクリティカルなシステムに脅威を与えるケースが出ている

一方、ネットワークセキュリティに関して、市場にある70%のIoT機器が脆弱性を抱えている、と言われている。そして、ヘルスケア、交通といった、人命に関わるインフラについて、システムの停止や乗っ取りといったインシデントが発生している。また、政府の側でも「重要インフラの情報セキュリティ対策に係る第4次行動計画」を発表し、情報通信や金融といった重要インフラ14分野について、特にセキュリティ対策をすべきとの方針を打ち出している。

さらに、東京オリンピックを控えている日本については、特にセキュリティ攻撃に対して注意しなければならない、という事を白水氏は付け加えた。

IoTデバイスが狙われる5つの理由

何故IoTデバイスはセキュリティ攻撃に狙われるのか。白水氏は以下の5点を理由として挙げた。

常時接続

街中に設置された監視カメラのように、365日24時間ネットワークに接続されている。

脆弱性

十分にセキュリティ対策が取られていないデバイスが多い事が、IoTデバイスの1つの特性である、と白水氏は語る。

低コスト

セキュリティ攻撃を行う側からすれば、IoT機器をボット化してDoS攻撃をかける事は、既存のPCや通信デバイスよりもやり易く、費用対効果が高いという。

管理者の不在

誰も見ずに放置されているデバイスが多いほか、アップデートされていない製品やアフターサービス整備されていない製品が多い。

長期利用

IoT機器は一旦設置されると長期に渡って利用される事が多いが、使い終わった機器を放置した状態にする「野良IoT」が増加している問題がある、と白水氏は指摘した。

サイバーセキュリティに関する国際的動向

では、危機が増大するIoT機器へのセキュリティ問題について、世界ではどのような対応を行っているのか。それについて、セミナー内ではサイバーセキュリティに関する国際的な動向について説明があった。

サイバー攻撃による知財の窃盗や不当な技術移転を、米副大統領が問題視

2018年10月、保守系シンクタンクであるハドソン研究所に米国のペンス副大統領が対中姿勢を打ち出した演説を行った。この演説の中でペンス副大統領は国家安全保障の観点において、サイバー攻撃による知財の窃盗や不当な技術移転の問題を指摘している。これが副大統領の演説を「新冷戦」と報道する動きや、ファーウェイ排除につながっている、と白水は述べた。

プラハ5G会議から読み取れる、セキュリティへのグローバルな連携姿勢

2019年5月、チェコにおいてプラハ５G会議が開催された。その議長声明のなかで、サイバー攻撃のリスク回避に向けて各国が連携を深める、という文言が含まれていた。声明については、アメリカ、日本、EU、NATO加盟国の約30ヶ国が合意している。さらにこの声明では、技術的な要件として、IoTの真正性の確保、運用時に脆弱性を早期に発見し、修正プログラムを提供することによってライフサイクル管理を行う事が盛り込まれている。

この声明については、サイバーセキュリティの問題が一国で解決するものではなく、グローバルで連携して対応すべきという認識になっている事を捉えるべき、と白水氏は解説した。