TEL
078-335-7573

テクノロジーニュース

IoTセキュリティガイドラインによるセキュリティ5つの指針を解説! 第五回「安全安心な状態を維持し、情報発信・共有を行う」

2020.01.28  サイバーセキューリティものづくり企業IoT基礎

IoTセキュリティガイドラインの5つの指針を解説するシリーズも今回が第五回で最終回となりました。

第1:「基本セキュリティ方針の制定

第2:「IoTのリスクを認識する

第3:「守るべきものを守る設計を考える

第4:「ネットワーク上での対策を考える

前回では、ネットワーク上でのセキュリティ対策としてどのようなものがあるのかを取り上げました。今回がIoT機器が立ち上がって運用していくうえで、どのようなセキュリティに関する注意が必要なのかということが記載されています。

セキュリティは、立ち上げた後も運用することでセキュリティ水準の高い状態が保たれる形となります。

出荷、リリース後の安全安心な状態を維持する

IoT機器は、導入時にはセキュリティに関する水準が高い状態のものであることも多いですが、導入時のファームウエアのアップデートを行わないと、新しいセキュリティ対策が取られることなく、ネットに接続された状態となることがあります。
ファームウエアが古い状態のまま、IoT機器がネットに接続され続けると、当然ですがウイルスに感染しやすくなってしまいます。ファームウエアはIoT機器メーカが定期的に更新プログラムをリリースしていますので、定期的にサイトにアクセスして最新版のファームウエアを確認する必要があります。
自動的にメーカサイトにアクセスして、自動的にファームウエアのアップデートの確認を行う設定にするのもいいでしょう。

出荷、リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える

IoTに関するセキュリティは運用時に維持されることで、セキュリティレベルが高い状態が保たれます。
このため、IoT機器を運用する関係者にIoTによるリスクをきちんと伝えて、守ってもらいたいことを行ってもらうことが重要となります。
あるウイルスへの感染事例があり、ウイルスの対策用ファームウエアもリリースされていても、IoT機器を運用している関係者が知らなかったために同じウイルスに感染したという例がありました。
これは、ウイルス対策のファームウエアの存在をIoT機器を運用する関係者が知らなかったために、発生したトラブルです。
これと同じように、IoT機器を設置したメーカや施工会社は、ファームウエアの他にもウイルスに感染すると発生するアラートなどについても説明する必要があります。
そうでなければ、せっかくサーバの負荷状況や認証回数が異常に多いアクセスなど、ウイルスや不正アクセスの兆候などを見落とす可能性があります。これではせっかくのセキュリティ対策も効果が半減してしまいます。
運用時の運用に携わる人の意識もセキュリティにとっては重要な事項です。

つながることによるリスクを一般利用者にも知ってもらう

IoT機器を利用してサービスを提供する場合、サービスを利用する一般利用者が存在します。
IoT機器を利用する人が工場の関係者など専門の人が利用する場合、機器を利用する人が限られていて周知は比較的簡単ですが、一般の利用者がいる場合は状況が異なります。
推奨する接続方法や、アップデート実施を行うなど、様々なセキュリティに関する項目を専門家ではない人にも分かりやすいように伝える必要があります。
この場合、マニュアルなど一般的に利用者が目につきやすいものに記載してつながることによるリスクを把握してもらう必要があります。

IoTシステム、サービスにおける関係者の役割を認識する

IoT機器を利用してサービスを提供する場合、サービスを提供する側が関係者となり、利用者が一般利用者となります。
この場合、サービスにおける関係者が、IoT機器のセキュリティに関してどのような役割を果たすのかをきちんと認識する必要があります。
サービスの提供する側と一言に言っても、自動車に搭載する場合は自動車会社やサーバを管理する会社、IoT機器を施工した会社などそれぞれの関係者といっても様々な業態や業種がありますので、それぞれで見解が異なり、管理が漏れるIoT機器などが発生する可能性があります。


もし、サービス展開するIoT機器に障害が起きた場合、責任の所在やどのような体制で動くかといったことを想定したシナリオを作成し、責任の所在を明確にする必要があります。
特に様々な関係者からなる運用では、IoT機器の管理漏れにより、ファームウエアが更新されずにセキュリティの穴となってしまうようなことになりかねません。

脆弱な機器を把握し、適切に注意喚起を行う

引用: 日立

IoTシステムを管理する関係者は、常にIoT機器の状態を確認し、ファームウエアが最新かどうかといったことから、IoT機器やサーバーの状態を把握する必要があります。
IoT機器の中でもセキュリティレベルの低い機器などは、ルーターの上位通信機器でセキュリティレベルを一定に保つ必要があります。しかし、IoT機器の増設などで、こうした機器のセキュリティにむらが出てくる可能性も十分に考えられます。IoTシステムを管理する関係者は、こうした増設などに伴うIoT機器の脆弱性をきちんと把握し、管理する必要があります。

まとめ:IoTの導入検討から、設計、検証、リリース後の運用までが重要

IoT機器の導入から設計、検証までは行うべきと認識している方も多いかと思いますが、リリース後の運用時にきちんとしたセキュリティに関するアップデートなどを行う必要があることは忘れがちです。
実際に導入、運用開始時には最新のファームウエアでセキュリティは万全だったとしても、時間の経過とともに新しいタイプのウイルスなども開発されていきますので、こうしたものへの対策を取らないと、時間の経過とともにセキュリティに弱いIoTシステムとなっていってしまいます。
こうした状況を防止するためには、運用の他にも、IoT機器を使用する関係者や一般利用者がものがつながることで発生するリスクを認識し、正しい利用方法で運用することがとても重要となります。

5回シリーズでお送りしました「IoTセキュリティガイドライン」の5つの指針ですが、今回で最終回となります。
IoT機器を導入する際に、IoT利用と同じように重要な情報セキュリティですが、一般的にはシステム開発のセキュリティに内容は準じています。IoT機器の特色としては、IoT機器本体にはセキュリティ機能が搭載できないものもあるということが大きな特色です。こうしたセキュリティに弱い機器をどうやってネットの不正アクセスから守るのかということが最も重要となってくるでしょう。
そのためにはシステムの構造を理解し、上位機器のセキュリティの傘の中にセキュリティの弱いIoT機器をいれることが必要となるでしょう。

その後の運用によるセキュリティ水準の確保も、導入時と同じくらいに重要となってきます。
情報セキュリティを正しく理解し、IoT機器導入によるメリットを授受できるようにしましょう。