昨今IoT(Internet of Things)によってあらゆるモノがインターネットで繋がるようになり、ますます便利な世の中に発展していく反面、IoTにおいても悪意ある第三者による様々なセキュリティの脅威が高まっており、セキュリティ対策は必須事項となりつつあります。
今回は、IoTにかかわるセキュリティの脅威と、その対策についてご紹介いたします。
IoT(Internet of Things)とは、直訳すれば「モノのインターネット」で、家電や防犯・医療・産業の機器などあらゆるモノがインターネットにつながることを言います。
様々なモノがインターネットを用いて活用されることにより、遠隔での監視や操作などが可能になり、より便利な社会が形成されます。
一方で、IoTにおいても適切なセキュリティ対策が行われていないと、例えばインターネットを介して遠隔で機器が操作されて、重要なデータが第三者に見られたり盗まれたりするといったリスクが高まります。
実際、次のような脅威が起きています。
被害例その1
朝日新聞2015年3月23日の記事によると、防犯用Webカメラの設定を無作為に検証した所、調査対象の35%にあたる769台の設定が適切でなかったため、その情報がインターネットを通じて第三者に閲覧可能であったと報道されています。
また同年5月の記事ではHEMS(ホームエネルギーマンジメントシステム)の設定不備により、スマホから家庭内機器を遠隔操作される可能性があったと報告されています。
被害例その2
ホスピーラ社の薬剤ライブラリーや輸液ポンプの設定を管理するソフトに脆弱性があり、インターネットを介して投与する薬や投薬量を改ざんすることが可能であったと報告されています。
被害例その3
サムソン電子社のスマート冷蔵庫の液晶パネルに搭載されたGmail Calendarを使用した場合、Googleのログイン情報が窃取される状況にあったと報告されています。
被害例その4
デジタルビデオレコーダー等のIoT機器をマルウェア「Mirai」に感染させて乗っ取り、その機器を悪用したDDos攻撃が世界中で報告されています。Flashpoint社の調査によると、脆弱性のあるIoT機器が50万台以上あるとされています。
上記の事例をはじめとして、IoTには様々な脅威が報告されており、セキュリティ上の課題があります。
これらの事例から、ログの改ざん・不正アクセス・不正ログイン・なりすまし・データ盗聴・情報漏洩といった脅威が考えられます。
これに対し、総務省はIoTにおけるセキュリティ対策の指針(ガイドライン)を公表しています。これは、方針・分析・設計・構築・運用の5つの段階に分け、それぞれに対する指針を示しています。
すなわち、経営レベルでIoTのセキュリティをコミットし、それを受けリスクを認識し、安全安心の設計を行い、実際にセキュアな構築・接続をして、安全に運用維持する必要があります。
方針:IoTの性質を考慮した基本方針を定める。
経営者がIoTのセキュリティにコミットし、不正やミスに備える。
分析:IoTのリスクを認識する。
守るべきものを決め、インターネットにつながることによるリスクを想定し、過去の事例に学ぶ。
設計:守るべきものを守る設計を考える。
接続する相手も含め全体的な観点から、安全安心を実現する設計をする。
構築:ネットワーク上での対策を考える。
ログを設け、適切な接続および認証機能を導入する。また、初期設定に留意する。
運用:安全安心な招待を維持し、発進・共有を行う。
脆弱な機器を把握し、安全安心な状態を維持する。
当ブログをご覧の皆様の多くは、セキュアなシステムの構築や接続に関わっていると思いますので、4段階目の「構築:ネットワーク上での対策を考える。」という指針が大事でしょう。
そこで、セキュアな構築および接続に関し、もう少し詳しく見てみましょう。
ネットワーク上での対策は次の4つの要点が示されています。
それでは、これらの具体的な対策を紹介しましょう。
上記の対策の有効な手段として、PKI(公開鍵暗号基盤)を活用した電子証明書の導入があります。
PKIは過去数十年にわたり「署名・認証・暗号化」のために活用され続けております。
署名 | データの変更や改ざんがされていないことを証明します。 |
---|---|
認証 | 正規の機器のみアクセスできるようにします。 |
暗号化 | 機器間の通信内容を見られないようにできます。 |
このPKIの技術を応用したのが『電子証明書』で、導入することにより、次の3つのリスクを排除することができます。
二段階認証により、パスワードの脆弱性の問題を解決する。
暗号化することでネットワーク上のデータの盗聴を防止する。
データの改ざんを検知する。
これらのリスクの排除の結果、上記で紹介したIoT機器の脅威の事例にあるWebカメラの盗聴やHEMSの遠隔操作はパスワードの二段階認証により不可能となり、薬の投与量の改ざんは署名によって不可能となり、スマート家電のログイン情報窃取は暗号化によって解読されることがなくなります。
IoTは家電・防犯・医療・産業に関わるあらゆる機器がネットワークにつながるため、様々な脅威が顕在化します。こうした脅威に対してリスクを把握し、効果的な対策を実施する必要があります。例えば、不正アクセス・ネットワーク上のデータの盗聴・データの改ざんと言ったリスクに対しては、電子証明書が有効です。
あらゆるモノがインターネットにつながるIoTになると、セキュリティ対策は今まで以上に重要になります。
IoTにおける不正アクセス・ネットワーク上のデータの盗聴・データの改ざん対策として、電子証明書の導入を検討してみてはいかがでしょうか。