TEL
078-335-7573

テクノロジーニュース

IoTセキュリティガイドラインによるセキュリティ5つの指針を解説! 第二回「IoTのリスクを認識する」

2019.12.03  インダストリー4.0サイバーセキューリティ基礎

IoTセキュリティガイドラインによるセキュリティ5つの方針を前回からシリーズでお送りしておりますが、今回は2つ目の方針である「IoTのリスクを認識する」をお送りいたします。IoTにより、今までネットにつながっていなかった機器が接続されるということで、どのような危険性があるのかを検討する必要があります。
こうしたリスクの想定を行うことで、何から守るためにセキュリティ環境をどの程度構築する必要があるのかがはっきりします。

IoTによる接続された機器が攻撃された場合に守るものを特定する

IoTでネットに接続された機器が情報を送るだけの構成しかとっていなかった場合、送る情報を守る必要があります。例えば、遠隔監視カメラの場合、送られた映像が外部に漏れないような対策を取る必要があります。
さらに、遠隔監視カメラにネット上からの操作権を取れるような構成だった場合、カメラが操作できなくなる、勝手に操作されるといった乗っ取りに対する部分も守る必要が出てきます。
こうした攻撃の想定は、IoT機器がネット上にどのような情報を送るのか、遠隔で操作ができるのかという部分を調べていくと、どのような攻撃が想定されるのかが分かるようになります。
守るものの検討をすれば、的外れな対策は取る必要がないということが徐々に実感として湧いてくるのではないかと思います。機器がネットとつながっていても、操作までできる環境となっているのか?、情報を送るだけの構成なのか?という違いを認識して、セキュリティで守るものによって、対策の取り方が変わってきます。

ネットにつながるということで起こるリスクを想定する

次に、ネットつながっているということで発生する攻撃や乗っ取り操作といったリスクを想定します。
これはIoT機器で制御する範囲での攻撃と、その機器を媒介にして他の重要機器への攻撃といったIoT機器の制御範囲を超えた部分への対策として分けられます。また、機器の保守点検時に人的にウイルスの入ったソフトをインストールされたという過去事例もありますので、こうした場合にどのように対策を取るのかといったこともリスクとして想定しておく必要があります。
まずは、ネットにつながっている機器が攻撃を受けて、ネット上に情報が公開状態となるというものです。例としては、遠隔監視のカメラの画像がネットから誰でも閲覧できる状態となるということなどがあります。これはIoT機器に対する直接攻撃といえます。情報に対する攻撃を想定するのか?直接の操作を行われる攻撃を想定するのかで、対策のレベルが変わってきます。遠隔操作ができるIoT機器では、不正な操作で人的な被害が出る可能性がある場合、高いレベルのセキュリティ対策を取る必要が出てくることが分かると思います。
機器を媒介とした他の重要設備への攻撃への想定は、例としてはあるデータを定期的にサーバへ送信している機器に関して、データの送信周期が書き換えられて過度にデータを送信され、サーバの過負荷を狙う攻撃などがあります。

物理的な機器リスクも増えることを認識する

IoT機器として接続されていないものや、IoTへの対応機種をネットに接続しない状態で使用している場合でも注意が必要です。ネットにつながっていなくても、ネットにつなげれば情報を送る機能がついているということ自体がリスクとなることも認識する必要があります。
具体的な例としては、盗難や不正持ち出しの被害にあった場合、機器に蓄積された情報を不正にネット上に公開されたり、機器を改造されて、中古販売されたような場合、購入先で被害にあうと言った事例がありました。
機器の盗難や持ち出しのリスクは、IoT接続機能がついている場合といない場合とでは、大きく異なることも認識する必要があります。

過去の事例からIoT機器のリスクを認識する

IoTに取り組んでいる企業では、日々こうした攻撃を防ぐための手立てを考えています。しかし、それと同じように攻撃者もこうした防衛措置に抜け目がないかを常に考えている状況であると認識する必要があります。防犯対策を取るのと同じように、ネット上からのIoT機器の攻撃に対抗する手段を検討する必要があります。IoT機器を導入したことで、便利な入り口ができたのですが、その入り口には不正に入り込む余地ができることになります。
ネット上のセキュリティ対策は、攻撃との知恵比べの歴史とも言えます。様々な手段を使ってネットワーク攻撃を行われた過去の事例を調査して、現在のシステムではどのような攻撃が想定されるのかといった検討を行う必要があります。
IoT向けのマルウェア(悪意あるソフト)が開発された事例もありますので、セキュリティ対策を取ってないIoT機器は、常時ネットに接続されているため攻撃対象となりやすいということを認識するようにしましょう。

物理的なセキュリティ対策やネットワークセキュリティは、まずは過去事例から考える

物理的な侵入経路でのウイルス拡散や、ネットワーク上からの不正アクセスなどはある程度、事例があり、どのような対策を取れば防げるのかはおおよそ答えが出ている場合がほとんどです。
ニュースなどで思いもよらないルートから不正アクセスをされて、情報を抜き取られたというような例もありますが、極端な例であると言えます。一度ニュースになればIT技術者が対策に乗り出しますので、日々こうした事例が蓄積されています。
Windowsなども定期的にアップデートを行っているのもこうしたセキュリティ対策が積み重なったバージョンアップを世界中に配信するためです。ネットにつながっていなかったPCが攻撃に弱いというのはこうした理由からになります。
現在構築しようと考えているIoTシステムにはどのような攻撃が想定され、過去事例からどういった対策をどの程度取る必要があるのかを検討するようにしましょう。

まとめ:IoT機器も決して攻撃の対象外ではない

IoT機器は会社の情報セキュリティ上、優先度の高い情報でなかったとしても、常時ネットに接続されているため、攻撃の対象となりやすいということを認識するようにしましょう。
攻撃者は様々な手段を使ってアクセスを試みてきます。その手法はある程度パターン化されていますので、こうした事例からどのような対策をとれば防げるのかということはある程度予測ができます。
情報セキュリティと聞くと、映画に出てくるような天才的なハッカーを思い浮かべる人もいるかもしれませんが、過度に恐れる必要はありません。情報セキュリティ会社もセキュリティを公開し、懸賞金を使って破られるかをテストしています。ここまでしてセキュリティの穴を探していますので、よほどのことがないかぎり対策が想定外に破られるということはないと言えるでしょう。
次回は、具体的な設計手法の考え方を記したセキュリティ3つ目の指針「守るべきものを守る設計を考える」を第三回としてお送りします。