IoTのセキュリティ問題とは?解決策と企業が行うべき5つのこと

多媒体 経営 95views影響度:4.2%

 

近年、IoTによって社会の利便性が高まることが期待され、IoTは今後の普及と活用が期待されている技術です。

しかし一方で家電や家具、自動車など周りにあるいたるものがインターネットに繋がるため、外部からのハッキングや内部の不正アクセスなどのリスクも懸念されています。

そこで今回は

  • Iotのセキュリティ問題とはどういう問題なのか
  • セキュリティ問題の解決策と企業が行うべき5つのこと

について具体的に紹介していきたいと思います。

IoTのセキュリティにおける3つの問題点

 

 

セキュリティの面において、IoTには大きく3つの問題があるといわれています。

その3点の問題とは

  1. IoTデバイスが急増しているので、影響範囲や影響度合いが大きい
  2. IoTは10年以上長期で使用されることが多いため、セキュリティが不十分だと長期的に危機にさらされる
  3. IoTデバイスの性能が限定的なため、特定のウイルス攻撃に対応できない

という点です。

この3点からIoTは便利な反面、多数のリスクが想定されるということがわかります。

上記であげた代表的なセキュリティの問題点について詳しく見ていきましょう。

1. IoTデバイスの急増で、影響度合いが拡大していく懸念がある

総務省の見解では2021年までに、世界のIoTデバイスの数は約349億個になるといわれており、2016年と比較すると倍増する見込みとなっており、その分IoTは様々なデバイスとネットワーク接続が可能になるため、影響度合いが拡大していくと懸念されています。

またIoTはデバイスのみならず、ネットワークやサーバーなど様々なものと繋がるため、一度攻撃されると芋ずる式に危険にさらされる可能性が高く、影響範囲が広くなっていきます。

IoTへのサイバー攻撃は影響度合いの大きさ、影響範囲の広さから企業にとって大きな脅威になりえます。

2. IoTの長期的利用で、セキュリティ対策が不十分になる

IoTの利用は長期間に渡るケースが多く、10年以上利用されるケースが一般的といわれています。

古いデバイスはセキュリティ対策が不十分になりやすく、ウィルスからの危険に晒されやすい状態とも言えます。

つまり長い間ウイルスに感染したままの状態で、長期間情報を流出する可能性も考えられるのです。

サイバートラスト株式会社が提供している、IoT用OS「EM+PLS」では長期間セキュリティ対策をすることができるサービスを提供しています。

OSの脆弱性対策パッチを10年間提供しているので、長期間利用するケースが多いIoTのシステムにとって最適なOSです。

サイバートラスト株式会社
 
EM+PLS
https://www.cybertrust.co.jp/iot/empls.html
EM+PLSは、長期間使用できるIoT・組込み機器専用のLinuxと、IoT機器のライフサイクルを通した安全性・本物性を PKI (公開鍵暗号基盤)技術を活用して担保するプラットフォーム、IoT機器のセキュリティ脆弱性を検査するツールを提供することにより、継続的な開発が可能なIoT開発環境を実現し、IoT製品の長期利用を支援するサービスです。製品ライフサイクルが長期間の産業機器などのIoT・組込み開発に必要な機能を提供します。

3. IoTデバイスの性能が限定的なため、特定のウイルス攻撃に対応できない

IoTデバイスに搭載されているプロセッサーは、処理機能が限定的であったり、性能に制限がされているデバイスが多いです。

そのためセキュリティ対策が困難で、特定のウイルス攻撃への対策ができない可能性があるということが懸念されています。

このようなシステムの脆弱性を狙ったウイルス攻撃は、デバイス運用をしていくにあたってセキュリティ面の大きな脅威です。

IoTのセキュリティ問題の解決のため、企業が行うべき5つのこと

 

 

上述の通り、IoTはセキュリティの対策を講じていなければ大きな脅威になりえます。

しかしながら、IoTのセキュリティに関する知識がなく、適切な対処法が分からない企業が多いというのが課題としてあげられていました。

この課題を解決させるために日本政府は下記の5つのガイドラインを設定し、セキュリティ性を向上させるように促しています。

  1. IoTの性質を考慮した基本方針を定める
  2. IoTのリスクを考慮する
  3. 守るべきものを守る設計を考える
  4. ネットワーク上での対策を考える
  5. 安全性安心な状態を維持し、情報発信・共有を行う

(参照元:総務省 IoTセキュリティガイドライン

IoTの利用において、高いセキュリティ性を維持するためには、これら5つのガイドラインを守っていく必要があります。

この5つのガイドラインについて具体的に取り組んでいる会社の事例とともに確認していきましょう。

1. IoTの性質を考慮した基本方針を定めて、ガバナンスを強化

まず最初にIoTを導入する際には社内でIoTに関する方針を整備しましょう。

具体的に行う方針としては下記の通りです。

  • 緊急時の対応や対策を行える環境の整備
  • IoTに精通した人材の育成または採用
  • 社員にセキュリティ知識の共有

また内部からの不正にも対応できる体制作りも必要です。

IoTは内部の犯行に弱く、不満がたまった社員が不正を働く可能性も大いに有り得ます。

IPAの調査では「処遇や待遇に不満があった」「企業・組織や上司などに恨みがあった」という社員の不満が原因で、内部の不正に至るというケースが多くありました。

(参照元:組織における内部不正防止ガイドラインIPA

上記の資料のように、社員の不満を解決させることで、IoTの不正利用に対するリスク低減へと繋げることが可能になるのです。

会社内部でIoTに関係する基本方針を定めている代表的な企業は『株式会社インターネット総合研究所』『Kii株式会社』があげられます。

これらの企業はIoTや情報処理に関する委員会や責任者を設置し、体制そのものを整備しています。

このように基本方針を整備し、社内で共有すればセキュリティ意識の向上に繋がります。

2. IoTのリスクを考慮し対策する方法

IoTのリスクと、その対策としてあげられるのが

  • 自社の情報を整理し、守るべきもの(コンテンツ、顧客情報など)を特定する
  • 内部のみ利用できるネットワークでも攻撃を受ける前提とし、セキュリティを整備する
  • IoTによってつながる他の機器によるリスクも想定する
  • 紛失・破損などのリスクを想定する
  • 過去の攻撃事例を学び、想定される攻撃に対応する

という内容です。

実際にIoTに対して考えられるリスクとそれに対して適切な対策を講じている代表的な企業、パナソニックの事例を見てみましょう。

パナソニックでは

  • IoTに係るセキュリティ部門を設ける
  • 過去の攻撃事例から今後の攻撃を予測し、事前に防ぐ体制を整備
  • リアルタイムでの観測により攻撃に対して、素早く防御ができる
  • という商品企画からサービス提供までライフサイクルに合わせた適切なセキュリティ対策を実施しています。

このように考えられるリスクとそれぞれに応じた対策を講じることで、万が一の場合に被害を最小限に抑えることができます。

3. 自社の重要な情報を設計を考え、万一のときの対応も考慮する

自社の重要な情報を悪意のある攻撃から守るために設計を考える必要があります。

有効な手段としては

  • まずは個々のIoTデバイスで対策し、対応できない場合は上位のIoTデバイスで対策する
  • 異常発見時は強制的に回線を切断し、他のIoTデバイスに影響が及ばないようにする
  • セキュリティの設計を見える化し、部署間や企業間で理解できるようにする
  • 不特定多数の機器には一部制限するなどして、安全性を保つ設計にする
  • セキュリティ設計を検証・評価し、常に最新の情報を反映する

という5つの方法があります。

インターネット上では常に新しい脅威が生まれます。

全ての脅威を事前に防ぐことは難しいので、脅威があったときにどうするかという点も十分に考慮しておきましょう。

4. ネットワーク上での対策をできる3つのサービス

全ての機器がインターネットにつながるIoTデバイスの場合、IoT自体にセキュリティ対策をするのみならず、インターネット上でも対策をする必要もあります。

インターネット上での対策として挙げられるのが

  • 暗号化したログに記録を残し、いつ攻撃をうけたか把握できるようにする
  • 接続時に認証機能や暗号化機能を使うとともに、不必要なインターネット接続を避ける
  • パスワード変更やファイアウォールの設置など初期設定にも十分な対策をとる
  • 複数の認証機能を活用して、なりすましを防止する

という点です。上述の対策をするためにおすすめなサービスが下記の3つです。

東芝「GUARD FIPS Security Toolkit」…高性能の暗号化ライブラリとTLSが特徴

東芝情報システム株式会社
 
暗号ライブラリ 「GUARD FIPS Security Toolkit」
https://www.tjsys.co.jp/embedded/encryption/index_j.htm
IoT機器などにも搭載可能な、小型軽量な暗号ライブラリです。FIPS 140-2認証への対応、最新のプロトコルであるTLS1.3への対応など小型ながら十分な機能を備えています。

GMO「マネージドPKI for マネジメント」…高速の電子証明書の発行と高い認証

GMOグローバルサイン株式会社のSSL・電子証明書サービスサイト
 
マネージドPKI Lite|GMOグローバルサイン【公式】
https://jp.globalsign.com/service/clientcert/mpki.html
SaaS型CAソリューション『マネージドPKI Lite』は初期費用・保守費用無料で最少10ライセンスからご購入可能、PCやモバイルデバイスでの利用、アクセス認証と電子メールの署名・暗号化(S/MIME)に対応しており、エンドユーザの負担を増やさずに企業の情報セキュリティを強化します。

GMOの「Iot IDプラットフォーム by GMO」…IDの管理サービス。様々なIoTデバイスに柔軟な対応が可能

jp.globalsign.com
 
IoTデバイスセキュリティ(マネージドPKI for IoT/IoT IDプラットフォーム byGMO/...
https://jp.globalsign.com/internet-of-things/
IoT(Internet of Things)デバイス向けに開発された「マネージドPKI for IoT」は、IoT機器向けに最高速度で毎秒3,000枚の証明書を発行することが可能な、電子証明書大量発行ソリューションです。また、IoTベンダー向けにIoT環境の実現を無償にて技術支援する「IoT協業プログラム」も用意しております。

これら3つはIoTデバイスのインターネット上の対策を暗号化・高度な認証機能・ID情報管理などを行い、高度なセキュリティを実現しています。

IoTデバイスはセキュリティにおいて、インターネット上での対策も重要です。

暗証機能・認証機能・ID情報など多数の対策を用いて、セキュリティを強化しましょう。

5. 安全安心な状態を維持し、情報発信・共有を行う

IoTデバイスを安全安心な状態を維持し、情報発信や共有を行うことも重要です。

安全・安心のセキュリティを保つためにやるべきことは

  • IoTデバイスを常時アップデートをして、セキュリティを更新し、安全な状態を維持する
  • IoTサービス提供者に長期的に運用・保守を依頼する
  • 一般利用者にもリスクの情報発信や共有をする
  • 関係者において、リスクの特定をした後、リスクの情報を共有する
  • 脆弱性の高いIoTデバイスを把握し、管理者に共有する

ということです。

IoTデバイスは一般利用者、サービス提供者、IoTデバイスメーカーなど様々な関係者とつながります。

関係者各々が高いセキュリティ意識を持ち、情報発信や共有をしていきましょう。

まとめ

今回はIoTにおけるセキュリティ問題と企業がとるべき解決策を5つご紹介させて頂きました。

企業がIoTにおけるやるべきことは

  • IoTの性質を考慮し、会社全体で共有する
  • IoTにはどのようなリスクがあるか把握する
  • IoTのセキュリティ設計を考え、守るべきものを守る
  • IoTデバイスのみならず、インターネット上でのセキュリティ対策も行う
  • 長期的な安全安心状態を維持

ということです。様々なモノや人がつながるIoTは飛躍的に社会を良くしていく一方で、多数の危険性が潜んでいます。

政府のガイドラインを忠実に守り、IoTにおけるセキュリティ問題を解決させましょう。

この記事はさんが執筆しました

IoTのセキュリティ問題とは?解決策と企業が行うべき5つのこと

最強PIM
関連記事