IoTの利活用を支えるセキュリティの重要性について

「IoTセキュリティ」という言葉が登場して久しいですが、近年はより一層「IoTセキュリティ」の重要度が増してきています。AIスピーカーで操作可能な製品や、スマートフォンへのヘッドフォン等のアクセサリー接続でも利用されるBluetooth接続に対応した製品の普及などにより、IoT機器がより幅広く、日常生活に溶け込んできています。このようなIoT機器を安全に利用するための「IoTセキュリティ」は、日常生活を安心して過ごすためにも欠かせない要素になろうとしています。

IoT（Internet of Things）（モノのインターネット）とは、従来はネットワークに接続していなかった家電製品などの「モノ」がインターネット経由で通信することを意味します。例えば、数年前まではネットワークに接続されていなかった電球が、スマートLED電球として家庭内のネットワークに接続されるようになることで、同じネットワークに接続されているAIスピーカーやスマートフォンから電球を操作することが可能になりました。このような一般的な家庭での利用だけでなく、工場内の温度や機器の状況などを把握し、異常がないかどうかをIoTにより監視するといった形で、企業でも利活用が広がってきています。

しかし、幅広く利用されているIoT機器を悪用された場合、影響範囲も同様に大きくなってしまいます。先の工場の例では、異常がないかを監視するIoT機器が乗っ取られた場合、正しく監視することが出来なくなることによる品質悪化などの影響や、機器の誤動作による事故の発生など、場合によっては人命にも影響することが考えられます。このように影響範囲が広く、大きくなる可能性があるIoT機器を安心して利用するためにはIoTセキュリティが必要となります。

数年前から総務省、経済産業省がIoTセキュリティガイドラインを発表し、IoTセキュリティ対策が必要であることが広報されています。しかしながら、実態としては、IoT機器へのセキュリティ対策実施率は2割以下というデータもあります。

実際問題として、IoTセキュリティは従来のパソコンやサーバを守るセキュリティと比べて、以下のような点から難しいと言われています。

守るべき（管理すべき）IoT機器の数が多い
IoT機器がウイルス感染したなどの異常を利用者に伝える手段が少ない
IoT機器が脆弱性解消のためのパッチ適用やファームアップなどのセキュリティ対策の機能を持たない
製造業や医療など、多くの業種で特化されたIoT機器が導入されており、共通するセキュリティ対策が難しい

これらの事から、数年前からIoTを対象とした攻撃が広く発生しています。有名な事例として、2016年10月に発生した、Twitter、Netflix、PayPal、PlayStation Networkといった著名なインターネットサービスに影響を与えた大規模なDDoS攻撃（分散（distributed）DoS攻撃）があり、これはIoT機器を対象としたマルウェアである「Mirai」に感染したIoT機器のボットネットからの攻撃通信が原因だったと言われています。

「Mirai」などのマルウェア感染を防ぐためには、IoT機器へのセキュリティ対策は必須となります。IoT機器への基本的なセキュリティ対策としては、不要な場合はインターネットに直接接続せずルータ等を介して接続すること、デフォルトのID/パスワードや脆弱なパスワードは利用しないこと、機器のアップデートが可能なものを採用し常に最新の状態に保つことなどが挙げられます。経済産業省もコネクテッド・インダストリーズ税制という、IoTの導入を支援する税制措置も創設しています。IoT機器を利用する企業としては、IoT機器への対策を含めたセキュリティガイドラインを策定し、経営層から現場まで一貫したセキュリティ意識の醸成が必要であると考えています。

《参考情報》