急激に普及するIoTデバイス脅威の現状その1
IoTという言葉が身近で聞かれるようになってきました。IoTとは"Internet of Things"の略で「モノのインターネット」という意味ですが、端的に言うと「身の回りのあらゆるモノがインターネットにつながる」仕組みのことです。パソコンやスマートフォン、携帯電話などは従来からインターネットに接続するデバイスとして知られていましたが、今ではテレビやデジタルカメラ、デジタルレコーダーや最近話題のスマートスピーカー、そしてセキュリティカメラ等ありとあらゆる身近なデバイスがインターネットに接続されるようになりました。
このように世界中に張り巡らされたインターネットはあらゆるモノがコミュニケーションをするための情報伝送路になりつつあります。IoTの種類は多種多様になり便利な世の中になった反面、IoTデバイスを狙ったサイバー攻撃が急増している現状があります。急激に普及するIoTデバイス脅威は企業にとって看過できない問題となっています。そこでIoTとそれに関するセキュリティをテーマに、3回に分けてお伝えしていきたいと思います。第1回目は総務省が2016年7月に定めた「IoTセキュリティガイドライン ver1.0」を中心に、IoTを取り巻く現状やガイドラインの要旨をお伝えしていきたいと思います。
各国におけるIoTの定義
IoTの普及に伴い世界各国でその定義及びセキュリティに関するガイドライン類の発行が相次いでいます。その定義をまずはご紹介します。
- 日本
ITU(国際電気通信連合)
「情報社会のために、既存もしくは開発中の相互運用可能な情報通信技術により、物理的もしくは仮想的なモノを接続し、高度なサービスを実現するグローバルインフラ」
("A global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies")
- アメリカ
NIST(米国立標準技術研究所)
「主に物理的な目的(センシング、暖房/冷房、照明、電動アクチュエーション、輸送など)を持つシステムや機器が、(多くの場合)組込みシステムに組み込まれた相互運用のためのプロトコルを介して(インターネットを含む)情報ネットワークとつながっていること」
("to the connection of systems and devices with primarily physical purposes (e.g. sensing, heating/cooling, lighting, motor actuation, transportation) to information networks (including the Internet) via interoperable protocols, often built into embedded systems")
- ヨーロッパ
ENISA(欧州ネットワーク・情報セキュリティ機関)
「意思決定を可能にする、相互接続されたセンサやアクチュエータから成るサイバーフィジカル・エコシステム」
("a cyber-physical ecosystem of interconnected sensors and actuators, which enable intelligent decision making")
日本におけるセキュリティガイドラインは総務省が2016年7月に「IoTセキュリティガイドライン ver1.0」を公開しています。ガイドラインを作成したのは「IoT推進コンソーシアム」という、政府の「日本再興戦略」(2015年6月改訂)に基づき組成された組織となります。ガイドラインの目的は「IoT機器やサービスについてセキュリティ・バイ・デザイン(後述)を基本原則として、セキュリティ確保に必要な取り組みを明確にすることで、積極的な開発の促進と利用者が安心して使える環境を生み出す」ということです。
- セキュリティガイドラインの具体的な対象者の例
引用:http://www.soumu.go.jp/main_content/000428393.pdf
この図が示すように「IoTセキュリティガイドライン ver1.0」が定義する具体的な対象者の例IoTは自動車、家電、衣料、工場など多種な業界に及んでいます。”ガイドラインをさまざまな業界、組織を横断的に適用・展開できるように、セキュリティへの考え方や対策の普遍的な部分にフォーカスしている”と言うように、ガイドラインの示す範囲は広いものとなっています。
引用:http://www.soumu.go.jp/main_content/000428393.pdf
またガイドラインでは、指標が具体性をもつように「セキュリティ・バイ・デザイン」を基本原則として、図のように方針、分析、設計、構築・接続、運用・保守という5つの指針を示し、それぞれに適用可能な対策手法、アプローチといった情報を整理しています。セキュリティ・バイ・デザインとは、製品の要件定義、設計段階からセキュリティ要件を組み込み、製品のライフサイクルを考えた安全品質の維持、向上をめざすという考え方です。この中で方針ではIoTの特性、性質を考慮した基本方針を考え、分析ではIoTにはどんなリスクが潜んでいるかを認識(分析)します。その上でのセキュアな設計、構築、運用を指針として示しています。
サイバー攻撃は、大企業だけの問題ではない
日本HPのサイトではサイバー攻撃によって被害を受けた中小企業が廃業に至る割合は実に60%にも及ぶと示唆し、次のように警鐘を鳴らしています。
サイバー攻撃の結果、システムの復旧や外部関係者への
対応・契約解除といった多くの損害が重なります。
研究によると、中小企業の被害額は6,500万円から1億2000万円にも達すると想定されており、サイバー攻撃を受けた60%の中小企業は6ヶ月以内に業務停止まで追い込まれています。
またサイバー攻撃のうち中小企業が標的である割合も実に70%であるとし、大企業の高度なセキュリティを突破するよりも、中小企業を踏み台として関連企業の情報を搾取する方が簡単であるとも述べています。
IoTによりあらゆるものがインターネットにつながり便利になりました。それは一方で、モノを提供する企業にとっても常にサイバー攻撃の脅威にさらされているということを意味します。御社では「セキュリティ・バイ・デザイン」にのっとり、どれだけ綿密に設計や構築、運用面でセキュリティ対策が行えているでしょうか?一度攻撃されてしますと、日本HPが示すように多大な損害を被ってしまい、最悪倒産に追い込まれてしまいます。企業はきちんと自社のセキュリティ対策がガイドラインに沿ったものかどうか検討する必要があります。
ガイドラインの内容を踏まえた上で、組織におけるセキュリティ管理態勢を構築する上で重要なポイントとは、管理すべきIoT機器を識別するための明確な基準を組織として整理・確定させることです。通常のシステムも同様ですが、管理対象に入らない機器が存在する場合、当然その機器に対する管理・運用上の統制は機能しません。また、管理対象外の機器が外部から攻撃を受けた場合などは、対象機器の特定ができず、その後の対応も行えない状況となります。
最後に
あらゆるものが1インターネットにつながる時代ということは、それだけセキュリティリスクが増大しているということと同義です。IoTデバイスの普及は急速に進んでおり、総務省の調査によると2020年には全世界で約530億ものIoTデバイスがインターネットに接続され、利用される見通しとなっています。その後もIoTは拡大を続けていくと見られているため、IoTをめぐるセキュリティ確保は、その重要性がますます高まっています。
※ 次回は、「急激に普及するIoTデバイス脅威の現状第2回」が掲載されます。
