IoTセキュリティガイドラインによるセキュリティ5つの指針を解説! 第五回「安全安心な状態を維持し、情報発信・共有を行う」
2021.03.25 インダストリー4.0、サイバーセキュリティー、基礎
IoTセキュリティガイドラインによる5つの指針を一つづつ解説しているシリーズも終盤に差し掛かってきました。
前回(第三回)では、具体的な設計方法やセキュリティの検証方法などの手法を挙げて、主にハード面からのセキュリティ設計について解説していきました。
今回は、実際に接続するネットワーク上でのセキュリティゲートについてはどのような指針で設計したらよいのかという部分について解説します。ネットワークという大海原から招かれざる客をどのようにブロックすることが有効的なのでしょうか?
機器等がどのような状態かを把握し、記録する機能を設ける
IoT機器に関わらず、ネットワークに接続された機器は、ネット上からサイバー攻撃を受けた場合、機器に何らかの変化が起こります。その場合、どのような状況だったのかということが分からなければ解析を行うことができません。
例えば、ネット上から通常では考えられないようなアクセスがあると、パスワードロックで何百回もブロックされるということが起こります。この場合、アクセスした側はIPアドレスなどによりおおよそ特定することができる場合があります。機器の状態を記録する機能があれば、このIPアドレスからのアクセスをブロックするような機構を設けることができるようになります。
記録に残らないのでは、どのような攻撃をうけて乗っ取られたりしたのかが分からなくなってしまいます。普段、ATMなどでもパスワードを3回間違えるとカードが使用できなくなってしまうなどという機能も、この項である記録する機能により、パスワードを間違えた回数を記録しているからできることです。
他にも記録ということで言うと、サーバの負荷状況(CPU稼働率やサーバ温度上昇など)で通常運用の状態ではありえないCPU稼働をしていると判断すると、警報を出し、ウイルスなどによって不必要な動作を行っていっる可能性があり、こうした観点からサーバを停止させるということもできる対策です。
機能及び用途に応じて適切にネットワーク接続をする
IoT機器は小型化するために、多くのセキュリティ機能を持っていない機器も多く存在します。
そのため、IoT機器をそのままセキュリティ機能を持っていないIoTゲートウエイに接続すると、ネットワークから無防備な状態でネットに接続されることになってしまいます。
IoT機器の重要度に応じて、ネットワークセキュリティのレベルを区分けする必要があります。
例えば、一般公開用のカメラなどはそこまで高いセキュリティレベルを求める必要がありません。そのカメラのセキュリティから、他の機器への影響などは当然考慮しなければなりませんが、独立したサーバで、公開専用であれば、セキュリティはパスワードロックなどだけでもよい可能性があります。
それ以外の重要データをIoT機器に求める場合、通信の経路を他の攻撃者などに盗み見られる可能性があります。そんな場合には、暗号化したデータでネット上の通信をやり取りするという方法があります。
これであれば、他の攻撃者が盗み見ようとアクセスしても、データは暗号化されているので、盗み見ても何がやり取りされているのが暗号化を解除するキーデータがなければ内容を読み取ることができないという形になります。
通信データの暗号化については、セキュリティレベルに応じて様々な種類の暗号化処理の方法がありますので、政府が推奨している暗号化の規格も参照してみてください。(電子政府推奨暗号リストhttps://www.cryptrec.go.jp/list_2003.html)
初期設定に留意する
IoT機器の導入時に様々な設定を行う必要があることが既にご存知かと思いますが、初期設定もセキュリティにおいては重要です。
最も分かりやすいのはパスワードですが、パスワードは初期設定時数字4桁「0000」などの分かりやすいものになっています。
しかし、これは簡単にログインされてしまうというのは周知の事実ではないかと感じます。近年ではパスワードを変更しないと次回アクセスができないシステムや、簡単なパスワードは変更できず、アルファベットの大文字、小文字、数字が入って一定の文字数以上でなければ変更ができないというシステムも多くなってきました。
また、IoT機器の製造元からファームウエアのアップデート情報が通知されるものもあります。ファームウエアが最新版でなければ、防ぐことができない攻撃もありますので、こうした情報をIoT機器が取得し、適宜アップデートするよう初期設定として設定するようなことも可能です。
また、IoT機器が多機能で、多くの通信ポートを備えていても、実際には使用しないものもあります。こうした通信ポートは使用しない設定とするなど、初期設定での設定が重要となってきます。使用しないポート経由で侵入されることも十分考えられます。多くのネットワーク機器と同様で、機器導入時の初期設定がセキュリティにとっては極めて重要な項目となります。
認証機能を導入する
IoT機器によるカメラなどは、設置する場所によっては顔認証なども行うことができます。
違う人が入ろうとした場合、「登録されている顔と違う」ということでアクセスを拒否することができます。
これはICカードなどと違って、それを持っている人が代わりに入るというリスクを避けることができます。本人しかアクセスができないという状況になります。
こうした高度な認証機能を導入すると、当然費用もかかりますので、すべてにおいてこうした認証機能を導入するというのは不可能だと感じますが、重要設備として考えた場合、認証機能の導入がセキュリティを確保します。
こうした認証機能は前項でも説明した暗号化処理なども含まれます。電子署名をした人、暗号化キーを送った人しかアクセスすることができないというのは、秘匿性の高い内容をネット経由で送るという場合に非常に有効です。
ただ注意しなければならないのは、こうしたセキュリティを増やすと、守られる方向になるのですが、実際のシステム利用者の手間が増えていくということです。あまりセキュリティばかりを考慮すると、システムの負荷が増えて利用時の反応時間が遅くなって、システム利用者が待たないと利用できないという状況にもなりかねません。
セキュリティ設計は、こうしたシステム利用の利便性と反する方向に行くものもありますので、こうした部分とのバランスを考慮する必要があるでしょう。
まとめ:ネットワーク上でのセキュリティ技術は進歩する
今回の「ネットワーク上での対策を考える」は、IoT機器に関わらず現在、ネットワーク上で取られていっるセキュリティの代表的なものを挙げたといってもいいでしょう。
ネットワーク技術の発展に伴って、セキュリティ技術も進歩しています。クラウドサーバの爆発的な普及により、現在もセキュリティ技術は研究されています。さらに5Gモバイル回線の開始に伴って、今後ネットワークセキュリティはさらに重要な位置づけとなっていくでしょう。
ハード的なセキュリティ対策と比べてネットワークセキュリティはスケールメリットなどもあり、安価にセキュリティを導入することができるものになります。今後も新しいセキュリティ技術に注目していきましょう。
現場でお困りの方を
徹底的にサポートします!
ソリューション、製品に関する
お見積もり・お問い合わせはこちらから
まずは、お気軽にご相談ください!
当社への貴社商品・サービスのご紹介営業につきましては、お問合せ・ご相談フォームにてご連絡下さい
- お電話の方はこちらから
受付時間 : 9:00-17:00(平日) - TEL078-335-7573