IoTセキュリティというキーワードを見て、皆さんは何を感じるだろうか。
そもそもIoTもセキュリティも範囲が広く、明確に定義することが難しい言葉なので、受け取る方によって様々であろう。しかも、漠然とした2つの言葉が組み合わさることによって、さらに不明瞭なものになっている。本コラムでは、なるべく具体的な例を取り入れつつ、IoTのセキュリティを誰がどうやって守るのか、といった観点で記載する。。
ちまたにあふれるIoT
IoT(Internet of Things)という言葉が世に出てきてから十数年、すくなくとも私がこの言葉を知ってから7年以上経過した。当初はまさに「バズワード」といった感じで、言葉が独り歩きしていた感が否めなかったが、昨今では様々なIoT機器が一般家庭でも身近に感じられるようになってきた。この状況は、大型家電販売店に出向くと顕著である。テレビ、ブルーレイレコーダー等、もともとネットワークとの親和性が高い家電のみならず、冷蔵庫、掃除機、洗濯機、電子レンジ、エアコンといったいわゆる白物家電も、軒並みインターネットに接続するIoT機器と化し、利便性を売り込んでいる。しかし、家電のパンフレットや、広告などを見ても、IoTというキーワードが少ないように感じる。当たり前のことだが、利用者の多くはIoT機器だから商品を購入するのではなく、それが便利なのか、生活に潤いを与えるのか、話題性があるのか、という基準で購入する。IoTが欲しいのではなく、便利な機能が欲しい、利用者にとってIoTは、知らなくてもよいキーワードなのである。「ちまたにIoTがあふれている」、というよりは、「見えないところで様々なIoT製品が活躍している」という状況であろうか。
このように、世の中にIoT機器が増え、便利な世の中になった反面、IoT特有のセキュリティ事故についても考えなければならない。例えば、自動車の車載システムが不正にアクセスされて、ブレーキやハンドルを遠隔から操作されることによる交通事故の発生や、医療現場に設置された投薬機器が操作され、投与する薬物の量が変更されるなど、人命に係わる事故も発生しうる。また、たとえ人命にはかかわらないとしても、Webカメラの脆弱性を利用した個人生活の盗聴・盗撮や、常時電源が入っているIoT機器が乗っ取られて外部の重要なシステムを攻撃してしまう側(加害者)になるなど、セキュリティ対策を行わずに利用した結果、予期せぬ事故を引き起こすこともある。このように、IoT機器を利用する際、セキュリティ対策は切り離して考えることができない重要な要素となっている。
IoTセキュリティの特徴
IoTのセキュリティ事故を防ぐうえでは、元来のコンピュータセキュリティに加え、IoTシステム特有の性質を考慮したセキュリティ対策を施す必要がある。
例えば、Webカメラのように一度設置すると、物理的に固定され何年もそのまま利用し続ける機器も多い。もし設置後にメーカーのサポートが終了すれば、脆弱性対策用プログラムを適用できない可能性も出てくる。その場合、リスクを冒してでも利用し続けるのか、最新の機器に取り換えるのかは、管理者が判断しなければならない。つい先日も、あるネットワーク機器の脆弱性がIPAより発表された。当該製品のサポートは終了しており、修正アップデートは提供されないため、対処するには製品の利用を停止するしかないとの事。ネットワーク機器でなくても、IoT機器にも同様のリスクは存在する。また、外に設置するIoT機器であれば、盗難、紛失等のリスクも考えておかなければならない。盗難、紛失されても情報が搾取されないよう、データを保持する場合は暗号化することが求められるが、PCのように高い性能を持ち合わせていないIoT機器では、暗号化に時間がかかりシステム全体の性能要件に影響を及ぼすかもしれない。このような特性があるため、製品選定時は十分な情報収集が不可欠であり、運用中でも常に最新の情報を入手する必要がある。
IoTセキュリティ管理者は利用者
では、これらのIoT機器のセキュリティを管理する者は誰か。
企業内のITを支えるシステム管理者は、まさにこの記事を読んでいただいている読者の中に多くいらっしゃることと思う。システムの健全性を確認しながら、コスト削減や効率化と戦い、日々運用管理に尽力されている専門家もいらっしゃるのではないか。IoT機器のセキュリティも含めてシステム管理者が管理するのか、機器を利用する現場が管理するのか、企業によって、またシステムによって様々かと思うが、いずれにしても管理するのは、ある程度の知識を持った企業内の人である。当然、問題があれば影響を考慮し、対応するのではないだろうか。しかし家庭に設置されたIoT機器の世界では、そうとは限らない。
家庭内のIoT機器は、前述したとおり家電量販店でも販売されているものもあり、だれでも購入可能、かつどこに設置されるかもわからない。販売した企業がこれらすべての機器を管理するのは困難であり、購入した側にも一部の管理が必要となってくる。
例えば、初期設定で登録されているID/パスワードの組み合わせは、攻撃の対象となるため変更する必要がある、という場合、メーカーはシステム上やマニュアル等でパスワード変更を促すことはできるが、実際に変更するのは利用者である。ITリテラシーや、セキュリティリテラシーを保有している利用者であれば、利用初期段階で設定を変更することができるだろうが、もしパスワードを変更せずに利用し続けた場合、いつそのシステムが乗っ取られてもおかしくない状況で運用し続けることになる。このように、家庭内のIoT機器を利用する人が、企業内のシステム管理者同様の管理ができるとは思えないが、最低限の設定知識は必要となってくる。
昨今は「スマートホーム」というキーワードの元、オートロックなどのフィジカルセキュリティ分野にもIoT機器が使用されている。もしオートロックが乗っ取られ、簡単に解錠できてしまったら、物品の盗難だけでなく、人命にかかわる凶悪犯罪につながる恐れも出てくる。製品の設計者も、その製品の利用者も、セキュリティに対する知識が必要なのかもしれない。
まとめ
より身近なところで、家庭内のIoTシステムに対するセキュリティについて記述してみたが、IoTセキュリティを考えるうえでは、IoT機器(センサーやアクチュエータなどのエンドデバイス)を考慮するだけでは不十分である。センサーからのデータをネットワーク経由で安全に送受信するためにはネットワークセキュリティが、そのデータをクラウド上に集めるならクラウドセキュリティといった、IoTシステム全体のセキュリティを確保するための幅広い知識が必要となってくる。
また、何よりも人命・身体に関する影響については、求められるセキュリティレベル、セキュリティ対策の目的、優先度が非常に高いものである。IoT機器を開発する側は、求められるセキュリティレベル、セキュリティ対策の目的、優先度に応じて適切なセキュリティ設計を行う必要があり、それを利用する利用者も、管理者の意識をもって製品を利用することをお勧めしたい。
経済産業省では、IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)(https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html)というIoTによってもたらされる新たなリスク形態、およびリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する資料が発表されている。IoTセキュリティに携わる方にはぜひ一読いただきたい。
本来であれば、利用者はセキュリティの事など意識せずに、その製品の価値を利用できるほうが、より便利なはずである。近い将来、IoTの利用者がセキュリティを意識せずとも安全に利用できる、セキュリティが守られる社会がやってくることを期待したい。
連載一覧
筆者紹介
株式会社アークテック IoT推進センタ センタ長
1975年生まれ。神奈川県出身。入社後より大手SIerで
システム開発を担当。数多くの開発経験を積み重ね、
某企業の情報システム部でJavaの講師を行う。
現在は会社の経営にも携わる傍ら、ベトナムでの駐在
経験を活かしたオフショア開発の推進やIoTの企画開発を行う。
コメント
投稿にはログインしてください