2019.04.05
世界的なデジタル改革により、拡大しつつあるIoTの勢いには目を見張るものがあります。しかし、目覚ましいIT技術の発展を享受できるというメリットの代償として、データ漏洩などのように、企業にとっては大きな打撃となりかねないリスクも含んでいます。そこで、十分に注意しなければならないのがセキュリティ対策です。これからの企業活動の効率化や戦略化に大切な役割担うこととなるIoTを、安全に使いこなすためのコンプライアンスが、一企業人として大きな意味を持つ時代が幕を開けています。そこで今回は、IoTに関するセキュリティ対策について紹介していきます。
メディアなどで聞かれることの多くなった新しいIT用語の中で、IoTについてどの程度的確に答えられますか。IoT(アイ・オー・ティー)とは、Internet of Things(インターネットオブシングス)の略称です。直訳すれば、「モノのインターネット」という意味となり、例えば、スマートTVなどの家電や自動車などのさまざまな機器、時には人や動物がデジタル上のIDを取得することによりインターネットと接続され、他の機器とのデータの送受信が可能になるというしくみのことです。
もう少し簡単に表現してみましょう。PCやスマホ、タブレットなどのように、これまでインターネットに接続する際に使用してきた機器以外の、「モノ」自体のインターネット接続が可能になり、遠隔操作などが可能である状態を指します。さまざまな「モノ」が、世界的に急速に進むデジタル化に伴ってIoT化されており、人々のライフスタイルに大きな変化をもたらす存在となっています。
また、オンライン化された「モノ」の製品としての名称は、IoTデバイスやIoT製品などと呼ばれます。ちなみにデバイスとは、「機器」という意味の英語です。スマートフォンやPC、タブレット等は、インターネット接続自体を目的とした製品です。そのため、デバイスではありますが、IoTデバイスとは区別して語られています。
企業や家庭でこれからの時代を担うこととなる、IoTの今後について紹介しておきましょう。IoTは急速に普及しつつある技術であり、IoTデバイスが増え続けています。2015年には、世界で150億個のIoTデバイスしかなかったのに対し、2020年には300億を超え、2025年には750億を超過する数になる見通しであると言われています。従来の使い方をしていたあらゆる機器がオンライン状態になるという状況を想像してみてください。家電や自動車などのIoT化されたデジタル対応の「モノ」がオンラインになるということは、スマホやPCからの遠隔操作が可能になるということを意味するのです。
IoTは、これまでの人々のライフスタイルに劇的な変化をもたらし、生活が圧倒的に便利になることが想像できるでしょう。結論から言えば、これからもIoTは進歩し続ける技術分野となり、家電のような身近な生活に関わる分野はもちろんのことですが、ビジネス面での活用に大きな期待がかけられています。
ビジネス面での活用というと、IoTをビッグデータと組み合わせることによる、効果的な分析データの抽出が可能となります。そのため、ビジネスインテリジェンスにも活用することが可能であり、人工知能による戦略的なビジネスの展開が可能になります。世界のデジタル化の波に乗り遅れることなくIoTなどの最新の技術を駆使することは、企業の生き残りをかけた戦略として、無視のできない状況になっています。
IoTデバイスにはどのようなものがあるのか、人気のものや主なものを中心に見ていきましょう。まずスマートホーム化するための代表的IoTデバイスに挙げられるのが、Google Homeです。スマートスピーカーとして、アマゾン社から出ているAmazon Echoに対抗すべく作られたものです。通常のスピーカーとして音楽を聴くだけではなく、スピーカーに話しかけることで、Googleアシスタントを通してAIであるバーチャルアシスタントを利用できるというものです。
住宅においては、HEMS(ヘムス、Home Energy Management Systemの略)を取り入れることで、家庭の家電や電気設備を最適化して制御し、エネルギーの無駄を防ぐことのできる管理システムがあります。住まいの使用電力量を見える化するHEMSにおいては、政府が2030年までに全世帯へ設置することを目指しています。そのHEMSにおいて取り入れられるIoTやAI(人工知能)を駆使した機能として、出先からスマホひとつでドアの施錠やお風呂のお湯はりなどを操作できるといったことが可能になります。
自動車におけるIoTとは、インターネットに接続することで以下のようなことが可能になります。自宅や職場にいながら、車のモーターを温めたり空調を調節できることや、駐車時に後方からの接近車両を検知するシステムや、リアルタイムの交通情報にアクセスできることによる、地図と組み合わせたハイブリッドのカーナビなどです。
IoTの安全性を考えたとき、果たして安全に利用できる技術なのかが疑問に思うところではないでしょうか。これまではインターネット接続などなかった普通の機器が、IoTの技術により突如オンライン化した状況にあるということです。IoTデバイスで取り扱う情報のなかには、プライバシーに関わる情報や企業の内部情報など、第三者に知られてはまずいデリケートな情報も含まれています。よって、セキュリティ対策などが無防備な状態であれば、当然リスクが高まると考えてよいでしょう。
現状から言えば、IoTデバイスは隙だらけの状態です。スマホやPCなどの従来からのネット端末同様に、データ漏洩リスクや改ざんリスクがあります。実際に、IoTデバイスでマルウェア感染やランサムウェア感染が確認されている状況です。つまり、IoTデバイスは、恐ろしいことにも簡単にハッキングが可能だということです。では、このIoTデバイスの脆弱性によって、どのような脅威があるのか、また、攻撃の結果としてどのような問題が起こりうるのかについて、次の項目で見ていきましょう。
IoTは発展段階にあり、セキュリティ対策が十分にはなされていなく、脆弱性が高いとされています。そのため、サイバー攻撃の恰好の対象になってしまいがちです。総務省の情報によれば、2016年度に発生したサイバー攻撃のおよそ3分の1がIoTに対してであった、ということです。では、IoTが攻撃される状況には、どのようなケースがあるのでしょうか。
攻撃の種類には、例えば不正アクセスやDDoS攻撃があります。不正アクセスは、文字通りIoTデバイスのシステムに不正に侵入することです。DDoS攻撃は、主に複数のIoTデバイスを乗っ取ることによって、標的のサーバーに対して、大量の処理要求をすることでサーバーダウンさせる攻撃のことを言います。マルウェア感染により、知らぬうちに自宅のIoTデバイスが攻撃に加担してしまう場合もあるのです。
前述のHEMSなどにDDoS攻撃があった場合、サーバーダウンが起こる場合があります。照明機器や空調機器、上下水道などの生活インフラがコントロール不能となれば大混乱をきたすでしょう。また、長期に渡るプライバシーの盗聴が容易なので、さらに悪質な攻撃の踏み台として、IoTデバイスが利用される可能性もあります。もし企業に対してIoTを通した不正アクセスがあれば、ウェブカメラから社内映像が流出したり、複合機のスキャンデータに残る重要な文書の閲覧が第三者に可能になってしまいます。
また、制御システムへの攻撃であれば、業種によって大事故につながる可能性も秘めていることや、医療機器への攻撃などの可能性もあるということなのです。自動車制御システムへ攻撃があれば、不正に書き換えられることなどがあれば事故が起こる可能性もあるでしょう。IoTを取り巻くセキュリティ環境は、まさに隙だらけの状況にあります。開発段階から、セキュリティを考慮した製品開発が浸透しきれていない状況もあり、ユーザー各自のセキュリティ意識の向上が安全なIoTへの鍵を握っています。
では、各自が取り組めるIoTのセキュリティ対策として簡単な方法を紹介しましょう。基本的にIoTデバイスは無防備な状態にあります。単純に、インターネットへ直接の接続をしなければよいのです。IoTデバイスによっては、インターネットに直接接続してしまうものもあり、こういったデバイスがハッカーに目をつけられやすいです。ここを管理することで、やっかいで危険なハッキングのトラブルを防ぐことができます。
具体的にチェックすることは、まずは有線LANと無線LANを区別し、接続されているすべてのデバイスを把握しておくことです。そして、IoTデバイスに直接インターネット接続するものがあれば、ルーターを通してインターネット接続する設定に変更する必要があります。IoTデバイスに関しても、インターネット・アクセスをルーター経由にすることを徹底させることで、不正アクセスのリスクを低減することが可能です。
IoTデバイスは、インターネットに接続しているという感覚が感じにくいこともあり、つい油断してしまいがちです。そこで、セキュリティ対策としては、パスワードを初期設定のままにしないという点もポイントです。また、パスワードは複雑なものほどベターです。実際の例として、2016年にツイッターやガーディアン紙などの有名サイトをダウンさせたMiraiというマルウェア被害にあった、多くのIoTデバイスのパスワードが初期設定のままでした。このことからも、パスワードのセキュリティ強度を高めるだけでも、被害を未然に防ぐことができます。
デバイスのアクセス制御機能はオンにしておき、データにアクセスする際には、IDとパスワードによる認証が必要な設定にしておくこともよい対策になります。また、すべてのIoTデバイスで同じパスワードを使いまわすことは危険です。パスワードの設定方法をデバイス別に変える工夫をすることも、セキュリティ強化に有効です。
パスワードの管理に関しても、慎重になる必要があります。ネット接続のないメモリカードに記録しておくか、紙に書き留めておくかしておかないと、攻撃のリスクに晒されることになります。
IoTデバイスはできるだけインターネット接続を制限することも大切です。IoTデバイスだからといって、全てのケースにおいてネット接続が必要というわけではないでしょう。人によっては、必要としない機能であることも少なくはなく、本当にネット接続が必要であるかないかについて意識的になるべきでしょう。必要な人であってもデバイスの使用時にインターネットが必要になるときのみ、機器をネット接続するように心掛けましょう。
そもそも、ネットに接続さえされていなければ、サイバー攻撃を避けることができるのです。ネットに接続する時間が長くなれば、その分第三者によるサイバー攻撃のリスクが増えてしまいます。基本的にインターネット接続する際には、ファイアウォールを設置したり、ブロードバンドのルーターを通すようにしないと、外部からの通信に対して無防備な状態になってしまうことに注意してください。
また、IoTデバイス内のソフトウェアにも注目する必要があります。デバイスに使われるファームウェアなどのソフトウェアは、セキュリティ対策として最新のものである必要があります。PCやスマホがアップデートが必要であるように、IoTデバイスもネット端末である以上は、最新のセキュリティに対応したソフトウェアでなければなりません。IoTデバイスによっては、自動的にソフトウェアがアップデートされていく方式もありますが、そうでないものに関しては自身で最新の状態に保つ必要があります。
ちなみに、IoTデバイスはもともとアジャイル開発が普通であり、常に開発や改善がなされています。その性質からもソフトウェアの最新アップデートをすることで、IoTデバイスの機能面を最新の状態に保つことが、トラブルなく使用するためのポイントとなっています。
IoTの急速な発展とともに、問題視されているIoTデバイスの脆弱性は、早急な対策を必要としています。米国ではスマート機能をもった冷蔵庫が迷惑メールの発信源となった事件もありました。またマルウェアに感染してしまうと、IoTデバイスが知らないうちにDDoS攻撃に加担し、サーバー障害を起こし得ることになります。
家電や自動車自体がネット接続されている状態がどういうことであるのかという意識がしにくいため、セキュリティに関して手薄になりがちです。だからこそ、流出しては困るデータやプライベートな情報を多く取り扱うIoTデバイスは、恰好のサイバー攻撃の対象であるという現実があります。事実、総務省と情報通信研究機構(NICT)は、国内で使われる2億ものIoT端末を対象に、侵入テストを行うことを発表しています。IoTデバイスの脆弱性とは国が対応するほど重大な問題です。これから起こりうるIoTデバイスに対する攻撃に対して、最大限に危機意識を持たなければならない段階にきているのでしょう。