IoTのセキュリティ対策とは？その仕組みとセキュリティ課題、有効な具体策を解説

インターネットに接続して使用するIoTデバイスには、セキュリティ対策が欠かせません。IoT機器を扱う企業や担当者は、IoT機器のセキュリティリスクを認識した上で、対策を講じる必要があります。
本記事では、IoTデバイスを活用する際のリスクや、セキュリティ強化の必要性などを解説します。また、IoTセキュリティを強化するための具体的な方法について解説します。IoT機器を扱う企業や担当者の方は、本記事を参考にIoT機器のセキュリティを見直してみてください。

IoTのセキュリティリスク

IoTとは「Internet of Things」の略称で、複数のデバイスがインターネットを通じて相互に通信し、情報を共有・収集する技術を指します。 センサーなどに通信機能をもたせることで、遠隔監視や遠隔操作を可能にしたものを本記事では「IoTデバイス」と呼びます。

まずはIoTデバイスを利用するうえで認識しておきたいリスクについて解説していきます。

機密情報が漏洩するリスク

社内のIoTデバイスが第三者に乗っ取られることで、まず危惧されるのが個人や企業の機密情報が漏洩するリスクです。企業で社内に設置した監視カメラが乗っ取られた場合、その映像から機密情報が漏れてしまい、企業の存続を脅かすような事態につながる可能性もあります。

企業だけでなく、最近は防犯用やペットの様子を確認するために、自宅にWebカメラを設置している家庭も増えましたが、サイバー攻撃を受けて乗っ取られると、個人のプライバシーが漏洩してしまいます。

踏み台攻撃に関するリスク

また、第三者に乗っ取られたIoTデバイスは、踏み台攻撃に利用されるリスクがあります。踏み台攻撃とは、第三者のサーバーやパソコンを遠隔操作して、攻撃対象にサイバー攻撃を仕掛ける手法のことです。

過去には、乗っ取ったIoTデバイスを利用して、企業のサイトにDDoS攻撃を仕掛けてシステムダウンさせた事例もあります。一つのデバイスが乗っ取られた場合、別のデバイスも遠隔操作されるリスクがあるため、広範囲に被害が及びかねません。

IoTデバイスのなかでも家電製品やカメラなどは、パソコンやスマートフォンと比べてセキュリティ機能が不十分であったり、アップデート機能を持っていなかったりするケースも少なくありません。また、パスワードが出荷時の初期設定のまま利用されているケースもあるなど、セキュリティレベルが低くなりがちです。そのため、踏み台攻撃の標的になりやすい傾向があります。

物理的な事故につながるリスク

IoTデバイスはサイバー攻撃を受けることによって、制御できない状態に陥る可能性があります。制御不能となったIoTデバイスは、物理的な事故が発生するリスクを高めます。

例えば、工場やオフィスで活用しているIoTデバイスが制御できなくなった場合、設備の破損だけでなく、従業員の身にも危険が及びます。

また、病院の設備システムがサイバー攻撃を受けて、患者の治療に弊害をもたらす可能性も考えられます。IoTのセキュリティ対策は、人命を守る観点から考慮しても重視すべきものです。

IoTデバイスが抱えるセキュリティ課題

ここからは、IoTデバイスが抱えているセキュリティ課題を紹介します。IoTデバイスにはどのようなセキュリティ課題があるのか知っておきましょう。

デバイスの一元管理が難しい

セキュリティの観点から考えた場合、すべてのデバイスを一元管理するのが理想的です。一つでも抜けがあるだけで、セキュリティリスクは高まってしまいます。

しかし、IoTデバイスは一般的なIT機器に比べて多くの種類や数が存在するため、一元管理の実現は難しいのが現状です。例えば、センサーやカメラ、産業機器や家電製品に直接通信機能をもたせている場合など、使用される場所や用途も多岐にわたります。特に所有しているIoT機器の数が多い場合は、シームレスに統合したセキュリティ運用は困難だといえます。

セキュリティ対策ソフトウェアの導入が困難

パソコンやスマートフォンは、セキュリティ対策ソフトウェアの導入によってウイルス対策ができます。しかし、IoTデバイスは機能が限られているため、内部にセキュリティ対策ソフトを導入する形でセキュリティのレベルを高めるのは困難です。

なお、IoTデバイスには、あらかじめセキュリティに関する組み込みソフトウェアが導入されているものがあります。また、暗号技術や認証機能を持ったモジュールも開発されています。このようにIoTデバイスは、セキュリティ対策ソフトウェア以外の方法で、セキュリティ対策を講じなければなりません。

ソフトウェアのアップデート

IoTデバイスは、ハードウェアとしての寿命が長い傾向にあります。デバイスの寿命が長いのはメリットですが、セキュリティ対策の面では注意が必要です。

メーカーによるサポート期間は限られているため、その期間を超えて機器を使用した場合、ソフトウェアをアップデートできなくなるおそれがあります。サポート期間が終了したIoTデバイスは、セキュリティリスクが高まることを覚えておきましょう。

IoTのセキュリティ対策に関するガイドライン

IoTデバイスはセキュリティを強化する必要があるとして、国がガイドラインを提示しています。ガイドラインは、自社のセキュリティを見直す際に役立つものです。

ここからは、2016年7月にIoT推進コンソーシアム・総務省・経済産業省が公表した「IoTセキュリティガイドラインver 1.0」をもとに、5つの観点からIoTデバイスのセキュリティ対策を解説します。

【方針】IoTの性質を考慮した基本方針を定める

まずはIoTデバイスの性質を踏まえた上で、セキュリティ対策の基本方針を定めます。ガイドラインの方針における基本方針の要点は次のとおりです。

まず、経営層がリーダーシップをとり、組織としての基本方針を策定する必要があります。IoT機器のセキュリティインシデントは、被害の内容や状況次第で企業の事業運営を左右する可能性があるからです。

自社だけでなく、取引先の企業にまで被害が及ぶリスクもあるため、企業の経営者はセキュリティ強化の必要性を正しく理解して、対策を進めていく必要があります。

【分析】IoTのリスクを認識する

IoTデバイスのリスクを認識するための分析における要点は次のとおりです。

「守るべきもの」の具体例には、ユーザーの個人情報やプログラムなどが挙げられます。守るべき対象がどのような攻撃を受ける可能性があるか、どうすれば防止できるかを検討します。

「つながることによるリスク」や「つながりで波及するリスク」とは、IoTデバイスが故障やウイルス感染などをした場合に、ネットワークのつながりを通じて広範囲に影響を及ぼすリスクです。デバイスが機能を停止することでシステム全体に影響が広がるケースや、乗っ取られたデバイスが踏み台となり、他の機器を攻撃するケースなどが想定されます。

「物理的なリスク」として考えられるのは、盗難や、第三者による不正操作などです。また、廃棄したIoTデバイスから情報が漏洩する可能性も考えられます。

過去の事例も参考にして、起こりうるリスクを想定し、事前に適切な対策を検討しましょう。

【設計】守るべきものを守る設計を考える

設計における要点は次のとおりです。

分析段階で出てきた対策案をどのような方法で実現するか検討します。個々のIoT機器やシステムでセキュリティ対策を施し、単独では対応しきれない場合にはさらに上位の機器やシステムでセキュリティの担保を行う必要があります。 また、万が一異常な動作が発生した場合に他の機器やシステムへの影響を抑える設計も必要です。

【構築・接続】ネットワーク上での対策を考える

構築・接続における要点は次のとおりです。構築と接続の観点から、ネットワーク上でのセキュリティ対策を講じます。

ネットワークにはさまざまな種類があるため、機器や用途に応じてどのネットワークにどのような方式で接続するかを検討しなければなりません。

例えば、常時外部サービスに接続してリアルタイムで膨大なデータの送受信を行うコネクテッドカーは、常に高速で安定したネットワークに接続されている必要があります。ウイルス感染やネットワークの断線などは、ドライバーの身に危険を及ぼすため、十分なセキュリティ対策が求められます。

機器やシステムの相互間で鍵や電子証明書が必要な設定や、監視機能の強化などで、ネットワーク上のセキュリティを守りましょう。

【運用・保守】安全安心な状態を維持し、情報発信・共有を行う

運用・保守においての要点は次のとおりです。

運用していくなかで新たな脆弱性が見つかる可能性もあるため、リリース後も定期的にアップデートを行うのが望ましいです。また、サポート期間が終了したIoTデバイスの使用はセキュリティリスクが高まるため、買い替えを検討しましょう。

IoTデバイスのセキュリティを強化する具体的な方法

ここからは、セキュリティを強化する具体的な方法として、5つを紹介します。

どのようなシステムでも共通して確認しておきたい代表的なセキュリティ対策ですので、すでにIoTシステムを運用している方も、導入を検討している方も意識しておくとよいでしょう。

不要なポートを閉鎖する

不要なポートは閉鎖して、セキュリティを強化します。不要なポートを放置していると、そこを狙ってサイバー攻撃されるリスクがあるからです。過去にも開放されていたポートを対象にサイバー攻撃されるケースは多く見られます。

特に、23番ポート（telnet）を狙ったサイバー攻撃は、以前から多いことで知られています。必要なポートと不要なポートを明確にして、使用していないポートは閉鎖しましょう。

ファームウェアを更新する

IoT機器にファームウェア機能がある場合は、常に最新のバージョンを保つようにします。古いファームウェアを使用し続けていると、脆弱性につけこまれてサイバー攻撃を受けやすくなるからです。

新しいバージョンのファームウェアが配布されるということは、機器の不具合や脆弱性など改善点があることを示します。ファームウェアは速やかに最新のものに更新するようにしましょう。

耐タンパー性の高いIoT機器を選ぶ

IoTデバイスやシステムには、物理的接触によるリスクも考えられます。第三者にデバイスを盗難される、分解される、部品を不正に入れ替えられるなどのリスクを防止するためには、耐タンパー性を高めることも重要です。

耐タンパー性を高めるには、外部から干渉されにくいように守りを固める方法や、干渉を受けると内部が破壊され動作や読み取りが不可能になる方法などがあります。一例として、特殊な工具を使用しなければ回せない耐タンパーネジは、耐タンパー性を高めるパーツとして広く知られています。

初期の管理者パスワードを変更する

IoTデバイスを購入したら、速やかにパスワードを変更しましょう。初期パスワードのままデバイスを使用すると、第三者に解読されてサイバー攻撃を受ける可能性が高まります。

初期パスワードは、製品ごとに共通のパスワードが設定されている場合や、取扱説明書や筐体のシールに記載されている場合があるからです。実際に、初期パスワードのまま使用していたのが原因で、サイバー攻撃を受けてしまった事例は数多くあります。IoTデバイスのセキュリティを考慮する際は、まず初期パスワードのまま使用していないか確認し運用開始後も定期的にパスワードを変更するようにしましょう。

インターネットへの直接接続を避ける

ソフトウェアによるセキュリティ対策だけでなく、IoTデバイス単体をインターネットに直接接続しないのも有効な手段です。また、IoTデバイスをインターネットに接続せず閉域ネットワークの利用でリスクの発生を防止できます。

「MEEQ 閉域ネットワーク」を活用すると、不特定多数から直接アクセスを受けないセキュアな通信環境を構築できます。

ミーク株式会社が提供する「MEEQ SIM」は、「MEEQ 閉域ネットワーク」による高セキュリティな通信環境の構築が可能なIoT向けモバイルデータ通信サービスです。コンソール画面から簡単に多数の回線の購入や管理が可能です。ノーコードでシステム開発することなくIoTシステムを実現します。

サービス名	MEEQ SIM
特徴	「MEEQ 閉域ネットワーク」による高セキュリティな通信環境の構築が可能 IoTに特化したSIMによる通信サービスの提供 システムを開発せずにIoTデバイスのデータ収集・処理が可能 収集・保存されたデータをAIで処理
ネットワーク	キャリア回線 閉域ネットワーク
閉域サービスご紹介ページ	https://www.meeq.com/meeq/meeqsim.html#sec03

IoT機器のセキュリティリスクを理解して正しい対策をしよう

IoTデバイスを活用する際には、さまざまなリスクが存在します。サイバー攻撃を受けると企業の存続を左右する事態も想定されるため、IoTデバイスにはセキュリティ強化が欠かせません。

セキュリティを見直す際には、「IoTセキュリティガイドラインver 1.0」を参考にすると良いでしょう。自社ではIoTデバイスとネットワークを直接接続しない、初期設定のパスワードは必ず変更するなど最低限の対策は必須です。

また、外部のセキュリティサービスを利用すれば、よりセキュリティを強化できます。モバイル回線で閉域網を構築したい際は、ぜひミークへご相談ください。

ミークへ問い合わせる