多数の調査機関から強気の市場予測が出ていることもあり、既に多くの企業が、IoT化による既存ビジネス拡大への取り組みを行っています。そこで問題となるのがIoTの『セキュリティ』です。 IoTで『セキュリティ』を確保するために行うべき基本的な対策について紹介します。
パソコンやスマートフォンといわゆるIoT機器には一般的な仕様で以下のように大きな違いがあります。
パソコン・スマートフォン | IoT機器 |
---|---|
高性能CPU 大きなメモリ・ストレージ容量 高速通信に接続可能 高価格 |
低速CPU (またはCPUなし) 少ないメモリ・ストレージ容量 低速通信 安価 |
このためIoT機器には、パソコンやスマートフォンのような強固なセキュリティ機能を導入することができません。「専用デバイスだから、高度なセキュリティは不要」という誤った思い込みからくるセキュリティの脆弱性は防げませんが、IoTのセキュリティリスクは放置せざるを得ないのかというとそうではありません。以下の5つの方法で最小化することができます。
IoTデバイスを初期設定のまま利用することは非常に危険なことです。例えば、初期パスワード「1234」の端末をそのまま利用することは、パスワード総当たり攻撃に対して非常に脆弱であることを意味します。この初期パスワードを「12桁以上の複雑なもの(英大文字・小文字+数字+記号)」に変更するだけでも不正アクセスを防ぐ効果があり、パスワードの桁数を1桁増やすごとに堅牢性は何十倍にもなります。
IoTデバイスの場合、通信する相手先は特定されていることがほとんどで、不特定多数の相手先サーバと通信する例はほとんどありません。よって、通信を行う相手先のIPアドレスのみをホワイトリストに追加することで、知らないIPアドレスからの攻撃を防ぐことができます。
パソコンにおけるWindows Updateと同様、IoTデバイスもメーカーにより定期的な機能アップデート、セキュリティアップデートが行われます。パソコンやスマートフォンと違い、IoT機器上に任意のソフトウェアが多数インストールされているわけではありませんが、アップデート適用後に正しくデータの取得や通信が行われるかを確認するためには事前の検証が必要になります。
この検証にはテスト工数が要求されるため、工数増加を避けファームウェアアップデートを見送る企業もありますが、古いファームウェアを利用し続けることはそれだけでセキュリティリスクとなりますので、工数をかけてでもファームウェアはアップデートすべきです。
パソコンやスマートフォンでは一般的にクライアント証明書と呼ばれる電子証明書が利用されており、これをIoTデバイスに利用することができます。クライアント証明書を利用することで、証明書が搭載されていない端末とのサーバ通信を防ぐ(なりすましの防止、中間者攻撃の排除など)ことができます。また、ID・パスワード以外の認証要素となるため、ID・パスワードと組み合わせることでいわゆる「二要素認証」が可能となり、認証におけるセキュリティが強化されます。さらに、通信を暗号化されることで通信内容が傍受されるリスクを防ぐ、データの改ざんがあった場合にそれを検知する役割も果たします。
パソコンやスマートフォンに対しては、強固なセキュリティ基準を設けている企業でも、IoTとなるとセキュリティについて特段基準を設けていない企業があるのが実情です。しかし、「IoTだから」と別なものとして考えるのではなく、「IoTデバイスも、パソコンやスマートフォンと同じセキュリティ基準で考えるべき」と発想の転換を行う必要があります。情報セキュリティポリシーを設けている企業であれば、IoTデバイスに関しても既存のセキュリティポリシーをそのまま適用できるのか、もしくはセキュリティポリシーの改定が必要なのかを検討する必要があります。
IoTビジネス、ならびIoTデバイスの導入数がここ数年で急増するということは、それと同じだけIoTデバイスを狙った攻撃が増加することを意味します。とはいえ、IoTデバイスも、所詮はインターネットに接続するデバイスの1つで、何か全く革新的なもの、全く別なプロトコルで動作するものではありません。よって、パソコンやスマートフォンのセキュリティ強化のための対策を、ほぼそのまま流用することができるのです。