現在社会では、さまざまな端末がインターネットで通信できるようになりました。
PCやスマホ、タブレットなど私達の身近なところだけでなく、医療や軍事・航空、産業用途で使われるシステムもインターネットを通じて情報をやり取りしています。
このように、モノがインターネット経由で情報をやり取りすることをIoTといい、この言葉は聞き慣れたものになりました。
IoTによってインターネットを介した通信が可能になりましたが、それは外部から侵入できることを意味します。
そのため、IoT機器を運用する場合、セキュリティ対策について考える必要があるのです。
この記事では、IoT機器のセキュリティリスクや脆弱性、具体的な対策方法について解説しますので、日頃から運用している企業はぜひ参考にしてください。
目次
IoTシステムに考えられる3つのセキュリティリスク
早速、考えられる3つのセキュリティリスクについて解説します。
IoTについては、下記の記事で解説していますので併せてご確認ください。
物理的な事故を引き起こすリスク
1つ目のリスクは、物理的に事故を引き起こすことです。
サイバー攻撃が起こるとモノの制御ができなくなるため、それによって事故を引き起こす可能性があります。
例えば、自動運転を想像してみてください。
通常は、白線に沿って走行し、信号が赤になれば、停止します。
しかし、サイバー攻撃を受けることで、正しい制御ができなくなり、信号が赤になっているときでも通過してしまい交差点で事故を引き起こすリスクがあるのです。
物理的な事故は自動車だけに留まりません。
介護ロボットの制御が効かなくなると介助中に高齢者を誤って落としてしまう、航空機の制御が効かなくなると墜落の危険性があるというように、重大な事故につながる恐れもあります。
端末は情報だけでなく、人そのものを扱うケースも少なくありません。
介護ロボットや自動車、航空機などがその代表例です。
そのため、スマホやパソコンが乗っ取られるよりも大きな被害を生む可能性があるでしょう。
端末が乗っ取られる
2つ目のリスクは乗っ取りです。
パソコンやスマホが乗っ取られてしまい操作を監視されているという被害も発生しているため、“乗っ取り”という言葉を知らない方は少ないでしょう。
IoT機器もスマホと同様に乗っ取られるリスクがあります。
代表的な端末として挙げられるのがスマート家電などです。
スマート家電の中には、Googleアシスタントと連携できる機能があり、中間者攻撃を仕掛けられてGoogleのアカウント情報が盗まれるケースもあります。
Googleアカウント情報を知られてしまうと、GoogleドキュメントやGmail、YouTubeなどにアクセスすることができるため、
仕事で大切な資料を読まれてしまったり、メール内容を悪意のある第三者に知られてしまったりする恐れもあるのです。
個人規模であればそれほど被害は大きくありませんが、企業が使用しているスマート家電などが乗っ取られてしまうと
顧客情報などが外部に漏れる心配があるため、取り返しのつかない事態になってしまいます。
企業は被害者になりますが、顧客からの信頼は失墜し、経営にも悪影響を及ぼすでしょう。
踏み台攻撃に利用される
3つ目のリスクは踏み台攻撃に利用されることです。
攻撃者はスマート家電など、さまざまな機器にウイルスを送り込み、標的に攻撃することを指示します。
そして、企業のWebサイトなどの標的に対して大量のデータを送りつけるのです。
基本的に、攻撃者は設定の不備などを突いて攻撃をします。
そのため、設定に不備があるだけで、知らない間にサイバー攻撃に加担してしまう可能性もあるのです。
IoTの脆弱性について
IoT機器には、一定の脆弱性があるため、乗っ取りなどのセキュリティリスクが発生します。
実際に、どのような脆弱性があるのかについて解説しますので、ぜひ参考にしてください。
機器自体が脆弱性を持つ
1つ目は、機器自体が脆弱性を持つという点です。
例えば、二段階認証が搭載されていないなど、機能不足によって脆弱性が生まれることがあります。
簡単にログインできる、1つのユーザー名とパスワードでアクセスできるという機器はリスクが高いです。
また、オープンソースソフトウェアを使って実装されている場合、それ自体が脆弱性になることがあります。
オープンソースソフトウェアは、ソースコードが無償で公開されているため、悪意のある第三者でも自由に解析することができます。
ソースコードの脆弱性を利用して攻撃してくることもあるため、注意が必要です。
設定の問題によって生まれる脆弱性
2つ目は、設定の問題によって脆弱性が生まれてしまうことです。
例えば、初期のログイン情報で運用している、「1234」や「00000」などとても簡単な文字列でパスワードを設定しているというケースが挙げられるでしょう。
そのほかにもファイアウォールの設定が適切ではない、一般に公開されている公衆Wi-Fiに接続しているという状態もセキュリティリスクが高くなる原因です。
リスクへの認識不足
3つ目はリスクへの認識不足です。
リスクへの認識不足は、IoT機器に潜む脆弱性ではありません。
しかし、それを使うのは人間です。
使用する人がセキュリティについて配慮していない場合、設定ミスなどによって知らない間に脆弱性が発生してしまいます。
そのため、使う側のセキュリティに対する認識を高めることも重要であるといえるでしょう。
【実例】実際に発生したセキュリティ事故を知る!
世界中でIoT機器のセキュリティ事故が報告されています。
実際に、どのような事故が発生したのかについて詳しくチェックしていきましょう。
2014年に10万台以上のスマート家電がハッキングされる
最初のIoT機器セキュリティ事故の事例は、2014年まで遡ります。
Proofpoint社によると米国時間の2014年1月17日、スマート家電10万台がハッキングを受けて75万通のフィッシングメールやスパムメール送信に使われた事件が発生しました。
はじめてのIoT機器ハッキング事例であると伝えられています。
DNSプロバイダサービス『Dyn』がDDoS攻撃を受ける
2016年、DNSプロバイダサービスを提供するDynがDDoS攻撃を受ける事件が発生しました。
IoT機器として知られるMiraiのボットネットが踏み台にされて攻撃が行われたと言われています。
攻撃元のIPは数千万にも及び、数百Gbps以上を記録しました。
DynはNetflixやTwitterなどの有名なサービスが利用しており、これらのサービスも一時的にアクセスが不可能となったのです。
2016年に発生したフィンランドの暖房停止事件
IoTのセキュリティ事故としてフィンランド暖房停止事件も有名です。
2016年11月、フィンランドにあるラッペーンランタ市にある2つの建物で暖房が停止する事件が発生しました。
Dynと同様に、DDoS攻撃を受けて暖房が再起動を繰り返し、使えない状態になったといわれています。
11月のフィンランドは、氷点下を下回る気温を記録することもあり、暖房機能の停止はそこに住む人々の生命に危険を及ぼします。
そのため、人を危険にさらした代表的なIoTセキュリティ事故といえるでしょう。
セキュリティリスクは脆弱性だけでなく、監視体制が十分でないことで発生します。
このフィンランドの暖房停止事件は、監視体制の不備によってDDoS攻撃を見逃してしまったことが原因です。
そのため、監視体制の重要性に気付かされた事件となりました。
IoTについては、下記の記事で解説していますので併せてご確認ください。
ガイドラインを交えた具体的なIoTのセキュリティ対策5選
総務省・経済産業省は、IoTセキュリティ対策の必要性を周知させる目的で、平成28年7月にIoTセキュリティ対策のガイドラインを公表しています。
それを交えながら具体的にIoTのセキュリティ対策を5つご紹介しますので、被害を受けないためにぜひ参考にしてください。
IoTの性質を認識して経営者が基本方針を定める
1つ目は、IoTの性質を理解して経営者がリーダーシップを取り、基本方針を定めることです。
まず、社内でIoTの誤作動や不正操作が行われた場合、利用者にどのような影響を与えるのかをしっかりと理解します。
そして、すべてのIoT機器に対して細かく監視が行き届かないことなどを知った上で、経営者がリーダーシップを取り、セキュリティ対策のための基本方針を定めることが重要です。
基本方針の中には、セキュリティ対策を組織として取り組む、内部不正やミスに備えるなどがあります。
IoTのリスクについて把握する
2つ目は、IoTのリスクについて把握することです。
上記でも説明したように、さまざまなリスクが存在し、過去には人体に影響を与えるセキュリティ事故なども発生しています。
攻撃者がもっとも悪いですが、監視を怠ったり、リスクを十分に把握していなかったりする被害側にも一定の責任があるといえるでしょう。
守るべきものを特定し、リスクを想定・認識することがセキュリティ対策につながります。
IoT機器を守ることができる設計を採用する
3つ目の対策としては、IoTを個々、全体で守れる設計にすることです。
総務省及び経済産業省のIoTセキュリティガイドラインの指針3でも指摘しているように、個々と全体で守れる設計が好ましいと説明しています。
具体的には物理的接触の対策、周囲に迷惑をかけず安全安心の設計を実現するなどです。
ネットワーク上の対策を施す
4つ目はネットワーク上の対策です。
例えば、ネットワーク上の対策としては、下記のような例が挙げられます。
- 機器を把握し、不正や改ざんされない機能を追加する
- 機能や用途に応じてネットワーク接続方法を変える
- セキュリティを意識した初期設定を行う
- 認証機能の導入
基本的にハッキングやDDoS攻撃などはインターネットを通じて行われるため、
ネットワーク上においてセキュリティ対策を講じることは非常に重要です。
そうすることで、大部分のリスクを回避し安全な運用を実現できます。
安心安全な状態を維持する
5つ目は、安心安全な状態を維持することです。
基本的にIoT機器の開発をすれば、そこで役割が終わるということはありません。
開発後、実際にそのIoT機器は一般の利用者によって使われることになります。
そのため、企業は消費者に対してIoT機器にどのようなセキュリティリスクがあるのかを共有し、自ら情報発信することが求められるでしょう。
そのような活動を行うことで、一般の利用者は脆弱性を把握し、セキュリティを意識した運用をはじめることができます。
IoTセキュリティ対策として留意すべき4つのルール
IoTのセキュリ対策として留意すべきルールは4つあります。
企業の中には、日頃の業務でIoT機器を使用している方も多いので、ぜひ参考にしてください。
サポートを提供していない製品は利用を控える
1つ目は、サポートのない製品を利用しないことです。
サポート体制がない製品を使用すると万が一トラブルが発生したときに対処してもらうことが困難になります。
また、機器に脆弱性が潜んでいる場合、それを修正するためのアップデートも行われないので非常に危険です。
IoT機器を利用するときは、サポートの有無を確認し、安全なものを利用するようにしてください。
初期設定に注意する
2つ目は、正しい初期設定を心がけることです。
前述で説明した通り、初期設定にミスがあると認証情報などを読まれてしまうため、攻撃の対象になる危険性が高くなります。
パスワードは難しいものに設定する、それを口外しないなどの対策を講じることが大切です。
電源をこまめに切る
3つ目は、電源をこまめに切ることです。
使用していないIoT機器がインターネット接続状態である場合、知らない間に乗っ取られてセキュリティ事故を発生させる危険性があります。
そのため、できるだけ使用していない機器は電源を切るのが基本です。
特に、Webカメラやルーターは使用していない状態でも電源がつけっぱなしになっていることが多いので注意しましょう。
処分するときはデータを削除する
4つ目は、処分するときはデータを削除することです。
IoT機器の中には、データを記録する機能があるものも多く、データが残ったまま第三者の手に渡ってしまうと情報を盗み取られる心配があります。
処分するときはもちろんのこと、友人などに機器を貸すときなども一旦データを削除することが好ましいです。
データは自分の情報だけではないということを肝に銘じておきます。
例えば、企業が使用する製品の中には、顧客の個人情報が記録されるものも珍しくありません。
万が一情報が流出してしまうと、大部分の人々に迷惑をかける心配があります。
そのため、データの取り扱いには十分に注意するようにしましょう。
そもそもIoTセキュリティ対策はどう立てる?順序と方針を解説
セキュリティ対策の具体的な方法と注意点について確認したら、次は対策の手順を決めましょう。
セキュリティ対策を立てる上での順序と方針の流れは以下の通りです。
- 基本方針ルールを決める
- 自社の抱えるリスクを把握する
- 設計する
- セキュリティ対策を考える
- 安全な状態を維持する
順番に見ていきましょう。
1.基本方針ルールを決める
まずは社内で基本方針・ルールを固めて、体制を整える必要があります。
全体の意思疎通がとれていないと、リソースの割り振りができず、対策を講じることができないからです。
組織で一丸となって対策を立てるためにも、基本となるルール・体制作りが重要となります。
後になって認識に齟齬がないように、しっかりとルールを決めておきましょう。
2.自社の抱えるリスクを把握する
自社のIoTシステムにどのようなリスクがあるか、把握しておきましょう。
扱う機器はどのようなものか、考えられる潜在リスクはなにかなど、情報漏洩や不正利用などの被害が発生した場合の想定が必要です。
起こり得るリスクを事前に分析しておくと、それに対する手段を講じることができます。
万が一被害にあった際の対応も迅速なものになるので、自社の抱えるリスクを洗い出しておくのは重要です。
3.設計する
リスクの分析が終了したら、対策を実現する方法を検討しましょう。
なぜ被害が起こるのか、セキュリティの脆弱さに対する対策はどのようなものがあるか、案を練ります。
検討する対策がコストに対して効果の高いものか考えておくことも重要です。
分析した結果を活かして、より具体的な対策方法の設計を行いましょう。
対策を実行に移す前に、分析したリスクから被害が発生した場合の影響度を確認しておく必要があります。
4.セキュリティ対策を考える
分析と設計の後は、どの対策を優先するかを決定し、目標を設定します。
優先順位と目標が決まったら、対策を実行に移しましょう。
インターネットを通じて世界中とモノがつながるIoTは、きちんとした対策を講じなければ誰に情報を盗み見られるかわからず、非常に危険です。
多くのユーザーに安全・安心の商品・サービスを提供できるよう、自社のセキュリティが問題ないか監視しておかなくてはいけません。
5.安全な状態を維持する
セキュリティ対策は、対策を講じてリリースして終わりというわけではありません。
サービスが続く限り安全な状態を維持できるよう、事前に対処の必要があります。
例えば、対策を講じた当時は安全なセキュリティでも、時間が経てば脆弱性が見つかる場合もあるでしょう。
何かあったときのためにすぐにアップデートを行えるよう、システムに組み込んでおく必要があります。
柔軟な対応ができるように、設計時点から更新手段を用意しておきましょう。
まとめ
今回は、IoTのセキュリティリスクや脆弱性、実際に発生したセキュリティ事故と具体的な対策について詳しく解説しました。
IoT機器は、人の生命にも影響を与えるものもあり、万が一乗っ取られてしまうと大きな事故になる恐れがあります。
そのため、機器を扱う企業や個人は、そのリスクについての認識を十分に持つ必要があるでしょう。
企業はセキュリティリスクを減らすために、被害に遭わない設計、ネットワーク上での対策などを考える必要があります。
また、利用する際は、初期設定に気をつける、使わないときはこまめに電源を切ることも重要な対策です。
IoT機器を扱う人は、十分にセキュリティについて考えた上で運用するのが好ましいでしょう。
