IoTのセキュリティを考える
近年、注目される技術の一つにIoTがあります。例えば、工場では、各生産設備や機器から情報を収集して生産状況を可視化するなど「スマートファクトリー」の実現のためにIoTを活用する事例も増えています。また、病院では、各医療機器が通信機能を備え、患者の健康データを集め、分析する「医療IoT」として活用されています。そのほか、ハードディスクレコーダーといった一般家電や自電車、電気やガスメーターなど私たちの身近なところにもIoTは活用され始めています。
このように、IoTの普及により、さまざまなデバイスが通信機能を持つことで、データの取集や分析が容易になる一方で、新たな課題となるのがセキュリティです。例えば、病院のIoT機器が脆弱性によってウイルスに感染すると、患者の医療データが外部に流出し、場合によっては人命に関わる重大な問題を引き起こす可能性もあります。IoTの活用とセキュリティは一体で考えるべき課題なのです。しかし、IoTのセキュリティ対策は、実は難易度が高いといわれています。それはなぜでしょうか。
IoTのセキュリティが難しい理由
PCは、ウイルス感染など何か問題が発生した場合は、ディスプレイを見れば異常が起きたことがすぐに分かりますが、IoTデバイスは、PCのように情報を表示する大きなディスプレイがなく、異常をユーザーに伝える手段がほぼありません。そのため、外部から攻撃されたことに気付きにくいという点があります。この点は、「サイバー攻撃の脅威動向とセキュリティソリューション」の記事でご紹介した「Mirai」というマルウェアにも似たところがあります。「Mirai」の被害者の多くは感染したことにすぐには気付かず、攻撃を受けた組織からの報告で初めて気がつくことも多かったといわれています。
また、PCはセキュリティに問題が見つかった場合、OSやソフトウェアのアップデートによって問題を解決しますが、IoTデバイスには、そうしたソフトウェアアップデートの仕組みがない場合も多いため、何も対策が取れず、結局「機器をネットワークから外すしかない」というケースが多く見られます。
そうなると「デバイス共通のセキュリティ基準や対策を設ければいいのでは?」という疑問が出てきますが、工場設備や医療、電気やガスといった公共インフラ、一般家電などIoTデバイスは多くの業種で活用され、それらの機器全てをまとめたセキュリティ基準や対策を設けるとなると非常に困難です。そのため、IoTデバイスが使用される環境あるいは用途ごとに、それぞれ違ったセキュリティガイドラインが必要となりますが、まだ具体的な内容は策定されていません。
IoTのセキュリティは、まず情報収集から
では、IoTセキュリティをどう考えれば良いのでしょうか。IoTのセキュリティを考える際、まず、総務省に掲載されている「IoTセキュリティガイドライン」を確認するとよいでしょう。このガイドラインでは、IoT機器の定義やIoTセキュリティ対策の基本方針、リスク認識、具体的な対策など、IoTセキュリティに関する最低限確認すべきことが整理されています。
また、独立行政法人情報処理推進機構(IPA)が運営する「IoTのセキュリティ」というサイトがあります。ここには、IPAの調査報告書や海外でのIoTに関する動向、セキュリティ上の注意点などが掲載されており、日々変化するIoTのセキュリティ情報がまとめられています。
セキュリティは、常に新たな課題が生まれる領域です。情報をアップデートし、リスクを勘案しながら適切な対策を打つことがセキュリティを考える上で非常に重要です。