IoTに求められるセキュリティ対策は?IoTの脆弱性と起こりうるリスクを併せて解説
IoTには脆弱性があるといわれており、導入する際はリスク対策が必要です。この記事では、IoTのセキュリティリスクのほか、対策が必要な理由などを詳しく知りたい人に向けて、IoTの脆弱性、セキュリティ対策の重要性、具体的な対策方法などについて解説します。自社におけるIoTのセキュリティ強化を図る際に役立ててください。
目次
セキュリティ対策が求められるIoT
IoTを導入する際、さまざまなセキュリティリスクへの対策が必要といわれています。ここでは、IoTの概要やセキュリティ対策が必要とされる理由などについて詳しく解説します。
IoTとは
IoTはモノとインターネットをつなげて利用できるすべてのものを総称する用語です。「Internet of Things」の頭文字を略した言葉で、モノのインターネットと直訳されています。特定通信・放送開発事業実施円滑化法では、IoTを以下のように定義しています。
“インターネットに多様かつ多数の物が接続され、及びそれらの物から送信され、又はそれらの物に送信される大量の情報の円滑な流通
出典:”特定通信・放送開発事業実施円滑化法|e-GOV法令検索”
パソコンやスマートフォンなどもIoTの一種で、一般的にIoTデバイスといいます。さらに、IoTとクラウドシステムを連携させたものを「IoTシステム」と呼んでいます。
IoTの例
IoTには、パソコンやスマートフォン以外にもさまざまな種類があります。たとえば、スマートスピーカーや家電製品、自動車、ロボット、住宅、監視カメラ、センサーなどです。日常生活で使用しているものがインターネットに接続されることで、利便性が高くなります。一方で、セキュリティ面でのリスクも高まる可能性があります。
IoTにセキュリティ対策は不可欠
IoTの導入により、スマート家電はもちろん、現場で使用する機器など、家庭内や企業内でのみ使用されていた機器がインターネットを通じて外部との接点が生まれるようになります。インターネットが接続できるものの中には、セキュリティの穴を狙った悪意ある第三者から攻撃のターゲットにされる可能性があります。
IoTを導入する個人や企業は、IoTには利便性の高さとセキュリティリスクの脅威という二面性があることを理解しておかなければなりません。
国もIoTのセキュリティ対策を推奨している
総務省と経済産業省は2016年、共同で作成した「IoTセキュリティガイドライン」を公表しました。IoTセキュリティガイドラインによると、IoTへの攻撃はターゲットにされている個人や企業だけがセキュリティ対策を強化するのではなく、関連製品を開発・販売する企業に対しても大きな影響が及ぶとされています。
国は、経営者によるトップダウンでセキュリティ対策を進めることを推奨しています。
IoTに起こりうるセキュリティリスク
IoTはモノとインターネットをつなげ、日常生活や業務上の利便性を高めてくれる便利なものです。一方で、インターネットへの接続は、常にサイバー攻撃の脅威にさらされるリスクを高めます。IoTを利用した場合、どのようなセキュリティリスクに気をつける必要があるのか、以下で確認しておきましょう。
事故を引き起こすリスク
IoTがサイバー攻撃を受けた場合、IoT機器の制御が効かなくなる恐れがあります。利用者がIoT機器を制御できなくなれば、取り返しのつかない事故を発生させてしまうかもしれません。たとえば、産業機器などが機能しなくなれば生産が追い付かず、受注側も発注側の企業も大損害を受けるでしょう。また、ロボットや自動車が暴走すれば、人命にかかわる事故が起きる可能性も考えられます。
情報漏洩のリスク
IoT機器の中には、個人情報や企業の機密情報などが記録されているものがあるため、サイバー攻撃を受けた場合、個人や企業の重要な情報が外部に流出する可能性が高まります。たとえば、センサーやスマートスピーカーなどのインターフェイス部分が乗っ取られれば、企業の機密情報が盗まれてしまうかもしれません。
知らぬ間に加害者になるリスク
IoT機器の利用者が直接的な被害を受けていない場合でも、本人の知らない間にサイバー攻撃の加害者になっている可能性があります。家庭内や現場などで日常的に使われているIoT機器を介し、サイバー攻撃の踏み台にされるケースも少なくありません。
不正アクセスの中継ポイントとして利用されるため、悪意ある第三者がどこから攻撃しているのかを特定するのが困難になります。サイバー攻撃で被害者にならないことはもちろん、不正アクセスに利用されないための対策が必要です。
IoTが脆弱である理由
上述のとおり、IoTはサイバー攻撃の対象や不正アクセスの中継などに利用されるケースが多いことがわかります。IoTのセキュリティの脆弱性が指摘されている理由とは何か、以下で解説します。
処理能力が限られている
IoT機器の多くが処理能力に制限があるため、パソコンなどのように高度なセキュリティの仕組みを搭載できるだけの受け皿がありません。十分なセキュリティ対策を施すためには、ウイルスソフトなどのインストールや、セキュリティ機能を充実させる必要があります。しかし、IoT機器にはセキュリティ機能の実装に制約があるため、十分なセキュリティ対策を施せません。
伝送技術が多様である
IoT機器は、多様な伝送技術が使われていることから、IoTで採用されているプロトコルと一般的なセキュリティ技術の両立が困難とされています。IoTのセキュリティレベルを上げるためには、セキュリティ技術との両立の実現が不可欠です。
ソフトウェアが脆弱である
IoT機器にインストールされているソフトウェア自体の脆弱性が高い可能性もあります。IoTを導入する際は、ソフトウェアの脆弱性やセキュリティ機能などについて把握したうえで、セキュリティレベルの高いものを選ぶことが大切です。
IoTに対するセキュリティ意識が低い
パソコンやスマートフォンに対するセキュリティ意識は高いものの、IoTへのセキュリティ意識は比較的低いとされています。サイバー攻撃の脅威があるという事実が広く認知されていないまま、家庭や企業などで不必要にインターネットに接続してしまうといったリスクがあります。IoTにおけるセキュリティリスクを理解したうえで利用することが重要です。
IoTのセキュリティ対策方法
IoTはセキュリティに脆弱性があるものの、日常生活や業務において重要な役割を担っています。ここでは、IoTにおけるセキュリティ対策について詳しく解説します。
管理すべきIoT機器の棚卸しをする
使用しているIoT機器によって、セキュリティレベルが異なる場合があります。まずは、自社で管理しているIoT機器の棚卸しを行い、管理が必要なものを把握しましょう。管理が必要なIoT機器があるにもかかわらず放置し続ければ、知らない間に悪意ある第三者の侵入口にされている可能性もあるため注意が必要です。
また、情報システム部門だけでなくIoT機器を使用する部署とも連携をとり、社内のIoT機器の把握漏れがないようにしましょう。
通信経路を把握する
自社内で使用しているすべてのIoT機器を把握した後は、それぞれのIoT機器がどのような通信経路で各システムと通信を行っているのか、仕組みについて詳しく調べましょう。通信経路を把握できれば、IoT機器ごとに利用しているネットワークやシステムなどが明確になり、問題が発生した場合にもすぐに対応できます。
また、外部システムとの不必要な接続がある場合はセキュリティリスクが高まるため、セキュリティ対策が必要です。
想定されるリスクを洗い出す
IoT機器ごとに通信経路を明確化した後は、通信経路を含め、それぞれのIoT機器が直面する可能性があるセキュリティリスクと、リスクが発生した場合に影響が及ぶ範囲なども洗い出しておきましょう。
たとえば、IoT機器が所有するデータの確認、通信経路からの不正アクセスや情報漏洩、システムなどの乗っ取りの可能性、サイバー攻撃が発生した場合に動作しなくなるシステムや機器などの想定が挙げられます。セキュリティリスクとリスクの発生に伴う影響範囲を把握した後は、セキュリティ対策を施す範囲や優先順位などを決め、優先度の高いものから対策を実行します。
セキュリティツールの導入
パソコンとは異なり、小型センサーなどのIoT機器はセキュリティツールをインストールしてセキュリティレベルを強化することはできません。対策を施すなら、ネットワーク上でIoT機器をセキュリティリスクから守るためのセキュリティ対策を別途検討する必要があります。ほかにも、デバイスにエージェントを導入することでセキュリティレベルを高めることも可能です。
また、軽量改ざん検知などのように、デバイスにエージェントを導入せずに使用できるセキュリティツールなども利用できます。NECでは、IoT機器に導入可能な改ざん検知ソフトウェアを提供しており、「Spresense」でもこのツールを動作することが可能です。
参考:「軽量プログラム改ざん検知」