必ず知っておきたい、「IoTセキュリティガイドライン(総務省/経済産業省)」
IoT(Internet of Things)は、近年その需要とビジネスの成長性で注目されている分野のひとつです。「モノのインターネット」と訳されますが、工場の生産機械や公共の交通、ライフラインの制御機器、各種センサー、そして家電に至るまでが対象です。機器類からインターネット経由で集められた情報を分析することで的確にコントロールしたり、故障などを事前に察知したりする技術です。
しかしひとつ問題が浮かび上がりました。IoT機器もサイバー攻撃の対象になるということです。IoT機器が直接攻撃される危険性だけではなく、これを踏み台とした大規模な攻撃事例も発生しました。昨年10月、米国のDNSサービス企業のDVR(デジタルビデオレコーダー)などが乗っ取られDDoS攻撃が発生、Amazonなど大手サイトが一時的に利用できない状態になりました。またIoT機器への脅威の拡大スピードは速く、AT&Tは報告書で、IoT機器への不正アクセスの検出件数が2016年の上期において、その前の期(2015年の下期)の4倍になったと述べています。
日本において、この新しいネットワーク上の脅威に対処するために経済産業省と総務省が示したのが、「IoTセキュリティガイドライン」です。
当ガイドラインの主旨
IoT機器へのサイバー攻撃については、これまでの脅威以上に危険視する声もあります。ネットワークにはルーターや監視カメラ、出力機などさまざまな機器が接続されています。それぞれにIDやパスワードがありますが、それが初期設定のままだったりソフトウェアの更新がおろそかだったりすると、不正アクセスの被害にあう可能性が高まります。監視カメラならばその映像をのぞき見できますし、そこからさらにネットワークを通してデータを盗むこともできます。これまで脅威の認識が弱く、これらの機器は初期設定のままや古いものが使われていることがあり、セキュリティが脆弱な箇所のひとつになっています。現状ではこの脅威に対する効果的な対策はない状態です。
そこで「IoTセキュリティガイドライン」は現状認識の手助けと、ユーザー企業のみならず、システムを提供するIT企業も含め、それぞれの役割分担と協力についてのガイドラインを示しています。
ガイドラインが伝えるIoTセキュリティの要約
「IoTセキュリティガイドライン」の内容を見てみましょう。
方針
「方針」としてIoTへの攻撃は企業の存続にも影響するので、トップダウンで対策を進めることを推奨しています。
| ポイント | 解説 |
|---|---|
| 経営者はIoTセキュリティの基本方針を定め、状況の把握とセキュリティの体制作りをする。 | 対策にはコストを要し、経営判断が大切。企業の存続に関わるので経営者が先頭に立つ必要がある。 |
| 内部不正と人為的ミスを防ぎ、もし発生しても安全を守れる対策を検討する。 | 内部犯罪以外にも、退職者の不満のはけ口やいたずらとしての行為などにも注意。 |
分析
「リスク分析」では、IoT機器・システムの個々の機器レベルでの機能やセキュリティの脆弱性について診断しなければならないこと、また機器の接続という物理的な行為からの感染リスクについても注意喚起しています。
| ポイント | 解説 |
|---|---|
| 守るべき箇所、機能、情報を特定、そのつなげる機能やつながる先までを意識する。 | ネットワークされていることで、個々の機器の不具合が全体に影響する。 |
| クローズドなネットワーク向けの機器であってもIoT機器として使われる前提でリスクを想定、保守時のリスクや悪意の作業員なども意識する。 | クローズドされていても保守時に持ち込む機器から感染するリスクにも配慮。 |
| ひとつの機器でも他の機器とつながっていることによる波及を想定する。 | つながっていることで被害が拡大する。対策レベルの低い機器が全体に危険を招くこともある。ひとつの機器が停止するだけで、連携する他の機器に影響をおよぼす。 |
| 特に対策の低い機器がシステムにつながることで波及リスクが高まることを想定する。 | |
| 紛失や盗まれた機器の不正利用や管理者の目がとどかない部分での攻撃リスクを考える。 | 紛失、盗難、廃棄された機器が悪用されたり、感染を拡大させる媒介になったりする。機器を扱う場合はそれを意識すること。 |
| 中古や廃棄機器からの情報の不正取得、ソフトウェアの書き換えと再販されるリスクを想定する。 | |
| パソコン等のICTの過去の攻撃事例を学ぶ。 | 過去、現在の事例を研究し、自社に当てはめてセキュリティを検討する。 |
| IoTの先行事例とその攻撃や対策事例を学ぶ。 |
設計
「設計」時に、機器が組み合わさることで想定外のリスクが生じることに留意して設計することとしています。ひとつの脆弱な機器がネットワーク全体に大きな脅威を生む危険があるわけです。
| ポイント | 解説 |
|---|---|
| 外部インターフェースからのリスク、内包リスク、物理的接触リスクの3つについて個々の機器で対策を検討。 | 外部からの攻撃のほか、もともとセキュリティ上の問題のある機器がすでに稼働している場合もある点を意識する。IoT機器個々ではセンサーなど性能の低いものもあるので、接続されている上位機でカバーする設定が必要。 |
| 個々のIoT機器やシステムで対応しきれない場合、それを含む上位の機器やシステムで対策を検討。 | |
| IoT機器・システムの異常を検知できる設計。その異常を検知した場合の対応方法等の検討。 | まず異常を確実に検知し、必要に応じてネットワークからその箇所を切り離せる設定等。 |
| 安心・安全の設計を見える化する。それらの設計の相互の影響を確認する。 | セーフティ機能が攻撃されることも想定。セーフティとセキュリティの設計の見える化で、相互の影響を可視化できるようにする。 |
| IoT機器・システムの相手に応じたつなぎ方を判断できる設計。 | メーカーの接続テストだけでは不十分で、不特定多数との接続などによる想定外のリスク等を検討する。 |
| つながる機器やシステムはIoTならではのリスクを考慮した設計の検証や評価を実施。 | 単独で問題がなくても接続される組み合わせ等でリスクとなることも検討しておく。 |
構築・接続
「構築・接続」では、機器の初期設定に注意し、各機器の稼働状況、通信状況のログ管理の必要性を説いています。
| ポイント | 解説 |
|---|---|
| 機器等の状態や他の機器との通信状態を把握し記録する。その記録の消失や改ざんを防ぐ。 | 異常検知のためには、接続されている機器のログ取得など通信状態を収集把握しておく必要がある。攻撃者にそれらを消去・改ざんされない手立ても必要。 |
| 機能と用途に応じたネットワーク接続の方法を検討。 | 接続された状態で全体のセキュリティ確保が必要。そのためには個々の機器の性能、接続方法等から検討する。 |
| ネットワーク接続ではIoT機器の機能や性能を考慮。 | |
| IoTシステム・サービスの構築・接続、利用開始時にはセキュリティに留意した初期設定を行う。 | 利用者の初期設定時の注意喚起も含め、システム全体がセキュアになるような設計を考慮する。 |
| 利用者の初期設定に関する注意喚起。 | |
| システム・サービス全体でセキュリティ確保のための認証機能を適用。 | 不正な機器や不正なユーザーがなりすますことで、プライバシー情報の漏えいの危険性が高まる。認証や暗号化の導入が必要。 |
| 機器の機能・性能の制約を踏まえた適切な認証方式。 |
運用・保守
「運用・保守」は、システムや機器を提供するメーカーやサービス会社の注意点も述べています。構築後に判明する脆弱性もあり、その情報提供の重要性を述べています。例えば医療現場のIoT機器に問題が生じた場合、医療従事者もそれに応じた行動を取る必要があるので、インシデント発生を想定した訓練の必要性もでてくるでしょう。
| ポイント | 解説 |
|---|---|
| IoTシステム・サービスの提供者はセキュリティ上のアップデートを適切に行えるようにする。 | 機器の出荷後の脆弱性の判明に合わせ、対策ソフトのアップデート等の手段が必要。 |
| 脆弱性情報を収集・分析、情報発信をする。 | 機器やシステムの利用上の留意事項にセキュリティに関するものを掲載し、脆弱情報の収集分析を行い、結果について情報発信を行う。 |
| セキュリティの重要事項をあらかじめ説明する。 | |
| 出荷から運用、保守、廃棄のサイクルで守るべき点を伝える。 | |
| 不用意、不正につなげることで自分や他人に被害が起きることを一般利用者へ伝える。 | 認められていない機器、古い機器などを不用意に接続しないように周知する。 |
| IoT機器メーカー、IoTシステム・サービス提供者、一般利用者の役割を整理。 | インシデント発生時の役割分担について、協議し取り決めておく。IoTは広い分野と機器に広がるため、その末端の利用者の対応まで検討しておく必要がある。 |
| ネットワーク上のIoT機器を把握し、脆弱性を特定する。 | 脆弱性の有無の診断を日常的に行い、早めに把握し対策を行う体制を持つ。 |
| 脆弱性のある機器は管理者へ注意喚起をする。 |
ガイドラインをIoTセキュリティの対策に活かすには
ここ1、2年、新しいネットワーク上の脅威による被害が相次ぎ、その件数が増加傾向にあることは周知の事実です。企業の経営責任者が情報セキュリティ対策の陣頭に立つことの重要性を、政府のセキュリティ関連のガイドラインで目にすることが多くなりました。IoTセキュリティについても同様です。また「IoTセキュリティガイドライン」の対策例にもあるとおり、ファイヤーウォールやウイルス対策ソフトの導入で解決できる問題ではなく、あらゆる機器について対策をほどこさなければならないわけです。この労力を惜しまず、着実に対処していくことが重要です。
IoT機器のセキュリティに関しては、その範囲の広さから、従来と違う対策が求められます。ユーザー企業、ITサービス会社、機器のメーカー、そしてエンドユーザーの互いの協力で効果を高められると言えるでしょう。
お問い合わせはこちら
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
お問い合わせはこちら
(土曜・日曜・祝日・当社指定の休業日を除く)