TEL
078-335-7573

テクノロジーニュース

IoTセキュリティガイドラインによるセキュリティ5つの指針を解説! 第一回「基本セキュリティ方針の制定」

2019.12.03  インダストリー4.0サイバーセキューリティ基礎

IoT機器は常時ネットと接続されて、データをサーバへ送り続ける機器ですが、そうなると気になるのが情報セキュリティです。
近年では、IoT機器を標的としたウイルスが見つかるなど、IoT導入と同時にセキュリティの面にも気を払わなければならなくなりました。
平成28年に総務省と経済産業省が発表した「IoTセキュリティガイドライン」では、IoT機器を導入する際のセキュリティ制定に関する5つの方針を掲げ、IoT機器へのサイバー攻撃に備えるよう提唱しています。
今回は第一回として一つ目の指針である「基本セキュリティ方針の制定」について解説していきます。

今までIoT機器のセキュリティ優先度は高くなかった

引用: 総務省

多額の現金の取引を行う銀行のATMシステムや、クレジットカードなどのキャッシュレス決済によるサーバといったネットワークでは、外部からのサイバー攻撃で口座預金がなくなったり、不正利用があるなど実害が出るため、セキュリティ環境を構築する優先度は極めて高いということは誰が見てもわかります。
しかし、ネットにつながっているとはいえ、計測データをサーバへ送っているだけのIoT機器になぜそこまでセキュリティ環境が必要なのかが今一つ理解できないという人も多いのではないかと思います。
確かに、他のサイバー攻撃者から狙われるような情報を送っていない機器に対しての攻撃は無意味なようにも感じます。
しかし、IoT機器はネットを介して世界中の情報網と接続されてることを忘れてはいけません。これだけ多くのIoT機器が普及してくると、IoT機器を媒介にして、重要設備への攻撃も技術があれば可能であるということを認識する必要が出てきます。

経営者サイドでセキュリティ環境構築の体制を作る

IoT機器を導入したはいいけど、セキュリティに関してはIoT環境を構築した業者に任せっきりであったり、自社内にIoT機器に詳しい人がいないという状況の会社も多いのではないかと思います。
IoTセキュリティガイドラインでは、こうした状況を認識し、経営者がIoT機器にサイバー攻撃を受けた際の自社の設備の影響を認識する必要があるとしています。
IoT機器からウイルスによる過度なサーバアクセスを繰り返し、サーバをダウンさせるようなものも登場しており、IoT機器と言ってもセキュリティとは無縁ではありません。攻撃の対象となった場合、生産設備の長期間停止といった自社内の影響が出るだけでなく、セキュリティの穴となってしまい、取引先の企業への影響を与えてしまうことも考えられます。
IoT機器へのサイバー攻撃が起こってしまった場合の対応や、セキュリティ対策を行い、検証する体制をとるなど、経営者が率先してIoT機器のセキュリティに対する体制を整える必要があります。
また、IoTセキュリティに対応できる知識のある人材の確保や育成なども経営者でなければできない対策です。
IoTセキュリティガイドラインでは、まずは経営者にIoT機器のセキュリティ環境の構築が必要だという強い認識を持ち、担当組織を作ることが重要だと提唱しています。

引用: 総務省

不正アクセスを行うのは外部からとは限らない

外部からの攻撃について、IoTに関するセキュリティの担当組織を立ち上げ、不正アクセスの防止に努めるというのは当然ですが、攻撃を行うのは外部の攻撃者ばかりとは限りません。
社内でIoT機器の構築担当をしている社員や、それまで主幹としてセキュリティ業務に携わっていた退職者などが何らかの理由で内部からサイバー攻撃を起こす可能性もゼロではありません。
内部事情を知っているがために、セキュリティの弱点も理解しているからこそ、行えることですので、信用だけではどうにもならないこともあります。
内部の関係者による不正についても、外部からの攻撃と同じように防止しなければなりません。内部関係者による不正防止の対策や従業員教育もセキュリティ基本方針として経営者が考慮する内容となります。

従業員によるミスを防ぐ対策やシステムを検討

従業員が不正を行うつもりがなかったとしても、外部の攻撃者から送られてきたメールの添付ファイルなどを開封することで、ウイルスを社内システムに広げてしまう可能性もあります。
IoTセキュリティガイドラインでは、こうした部分への対策も基本方針として認識しておく必要があるとしています。
近年、メールによるウイルス配信は巧妙化してきており、業務上のメールと勘違いして開封してしまうようなことも十分に考えられます。
経営者側からの従業員によるミスを防止する教育や周知を行う必要があると説明しています。こうしたウイルス対策はIoT機器に対するものではなく、情報通信機器に対するセキュリティ対策としても言われていることでもあります。

IoT機器に対するセキュリティ対策の基本方針は、ネットワークセキュリティと共通している

IoTセキュリティガイドラインに記載されているIoT機器に関するセキュリティ基本方針は、セキュリティ環境を構築する体制の整備や人材の確保、内部関係者のミスや不正防止といったことに対する対策を検討することが必要としています。
しかし、これは通常のネットワークのセキュリティ対策の基本方針とも共通する部分があり、IoT機器に対して特化したものであるということではありません。このため、既に社内システムを管理する部門が社内にある場合、こうした部署がIoTセキュリティに関する業務を行うということも十分に可能な内容となっています。
セキュリティの基本方針はIoTでも特別なものはありません。

まとめ:ネットワーク機器のセキュリティ基本方針は共通

今回はIoTセキュリティガイドラインの解説第一回ということで、5つの指針の最初である「基本セキュリティ方針の制定」について解説してきました。
最初の指針ということで、情報セキュリティの基本的な対策について述べてきましたので。既に対策を終えているという経営者の方も多いのではないかと思います。つまりはサイバーセキュリティの考え方にIoT機器もネットワーク機器も同じ機器として扱いに違いはないということが言えます。
次回は、IoTセキュリティガイドラインの2つ目の指針である「IoTのリスクを認識する」をお送りします。