2022/09/21 ビジネス

IoT機器のセキュリティ対策は必須！過去のサイバー攻撃や対策方法を解説

IoT技術を活用した製品が普及し、IoT機器が数百億個にまで増加すると言われています。便利になる一方で、セキュリティの危険性も拡大しており、すでにIoTに関する脅威が報告され始めています。

IoT機器を活用するうえで、どのようにセキュリティ対策をすれば良いのでしょうか。本コラムでは、対策が求められる背景、セキュリティ危機の事例、セキュリティ対策の進め方などを解説していきます。

IoT導入時に必要なセキュリティとは？

IoTセキュリティ

IoTとは？

IoT機器のセキュリティ対策についてお話しする前に、IoTという用語について改めて確認しておきましょう。IoTは“Internet of Things”の略で「モノのインターネット」と訳されています。これまでインターネットに接続されていなかった住宅や車、家電製品、電子機器などが、ネットワークを通じてサーバーやクラウドに接続され、相互の情報交換を可能にする仕組みです。

モノがインターネットに接続されることによって、離れたところにあるモノの状態を確認できたり、遠隔操作やモノ同士のデータ送受信などを実現できます。IoT技術の活用によって、これまでにない新たなサービスや高い価値の創出が可能になりました。くわえて、通信インフラやクラウドサービスの高性能化などが後押しとなり、現在IoTの導入はとても身近なものになっています。

IoT特有の性質

IoTは特有の性質があり、そこから想定されるリスクをもちます。そのため、それらの性質とリスクを踏まえたうえで、セキュリティ対策を行うことが大切です。「IoT セキュリティガイドライン ver 1.0 」では、以下6つの性質を上げています。

性質1：脅威の影響範囲、度合いが大きい

IoT機器はインターネットなどのネットワークに接続しているため、攻撃を受けるとIoT機器単体だけに留まらず、ネットワークを介して関連するIoTシステム・IoTサービスにも影響が広まる可能性があります。また、IoT機器が増えていることから、その影響範囲は日々拡大。たとえば自動車分野や医療分野におけるIoT機器の制御に攻撃の影響が及ぶ場合、生命の危機に瀕することも想定されます。そのほか、IoT機器には重要なデータが保存されている場合があり、そうしたデータの漏えいも考えられます。

性質2：ライフサイクルが長い

自動車の平均使用年数は12～13年ほどと言われるなど、IoT機器として想定されているなかには、10年以上にわたって利用されるものがあります。構築・接続時にセキュリティを適用しても、時間の経過と共に対策が不十分になり、IoT機器が危険に晒された状態でネットワークに接続され続ける可能性があるでしょう。

性質3：監視が行き届きにくい

IoT機器の多くは、スマートフォンやパソコンのような画面を持たないため、人の監視の目が行き届きにくいと想定されています。もしIoT機器に問題が発生していても気づきにくいため、管理されていないものが勝手に接続されマルウェア（有害な動作を行う意図で作られた、悪意のあるソフトウェアやコード）に感染するなどのリスクが想定されます。

性質4：IoT機器とネットワーク側の相互理解が不十分

IoT機器側とネットワーク側、それぞれの環境や特性が十分に理解されておらず、IoT機器がネットワークに接続する際に、安全や性能を満たせなくなる可能性があります。

性質5：IoT機器の機能・性能が限られている

リソースが限られたIoT機器では、セキュリティ対策を十分にできない場合があります。

性質6：開発者が想定していない接続をされる可能性がある

IoTではあらゆるものが通信機能を持ち、ネットワークに接続されます。そのため、IoT機器メーカーや開発者が想定していなかった接続をされる可能性があり、想定外の影響が発生する可能性があります。

参考：IoT セキュリティガイドライン ver 1.0／IoT推進コンソーシアム総務省経済産業省

セキュリティ対策が重要視される背景

IoT機器が増加すると同時に、上記の特性やリスクによってサイバー攻撃の脅威に晒されることが多いためです。事実、2018年に観測したサイバー攻撃の約半数がIoT機器を狙ったものであったという調査結果があります。また、マルウェアに感染した機器や乗っ取られた機器を悪用したDDoS攻撃（対象のWebサイトやサーバーに対して、大量の情報を送りつけるサイバー攻撃）の事例も発生しています。こうした攻撃から守るためにも、IoT機器のセキュリティ対策が重要視されているのです。

参考：令和元年情報通信白書（第5節サイバーセキュリティ対策の推進）／総務省

IoTを標的にしたサイバー攻撃の事例

サイバー攻撃の脅威に晒されることが多いIoT。どのような事例があるのでしょうか。

マルウェアMiraiを利用した攻撃

米国での事例です。2016年10月、マルウェア「Mirai」に感染した10万台を超えるIoT機器が踏み台となり、Dyn社のシステムに対し大規模なDDoS攻撃が発生しました。Dyn社のDNSサービスを利用している数多くの大手インターネットサービス・ニュースサイトに、アクセスできなくなるなどの障害が発生しました。

参考：令和元年情報通信白書（第5節サイバーセキュリティ対策の推進）／総務省

Bluetooth接続の脆弱性を利用した攻撃

マルウェアのほか、注意したいのがBluetooth接続を利用した攻撃です。Bluetoothは、無線通信規格の一つです。スマートフォンやパソコンなど、さまざまなデジタル機器に内蔵されており、近年ではスマートスピーカーやスマート家電といったIoT機器にも使われています。

米国のセキュリティ会社Armis Labsが、Bluetoothに「BlueBorne」と呼ばれる、8つの脆弱性が潜んでいることを発表しました。BlueBorneの特長は、接続先デバイスとペアリング、また検出可能な設定にしていなくても、Bluetoothをオンにしているだけで攻撃が可能という点にあります。

現在、攻撃に対処するための更新プログラムが各種OSやIoT機器メーカーで公開されており、アップデートによるセキュリティ対策が求められています。

どのようなセキュリティ対策が必要か

IoT機器を狙ったサイバー攻撃が多発するなかで、どのようなセキュリティ対策をとる必要があるのでしょうか。

先にも挙げた「IoT セキュリティガイドライン ver 1.0」では、IoT機器の開発からサービス提供までの流れを、方針、分析、設計、構築・接続、運用・保守の5つの段階に分けたうえで、それぞれの段階におけるセキュリティ対策を示しています。

セキュリティ対策指針一覧

引用：IoT セキュリティガイドライン ver 1.0／IoT推進コンソーシアム総務省経済産業省

IoTはリスクが多様化し、時に企業の存続にまで影響を及ぼす可能性があります。そのため、IoT機器やシステム開発会社のみならず、利用する企業もIoTセキュリティ対策の必要性を理解し、推進することが大切です。

IoTシステムのセキュリティ対策の進め方

IoT機器を利用している場合、どのようにセキュリティ対策を進めていけばよいのでしょうか。ここでは3つのステップに分けて、対策の手順を解説します。

管理しているIoT機器の棚卸し

まずは自社で管理しているIoT機器の棚卸しを行います。棚卸しを行い、管理する機器を再確認することで、リスクの洗い出しや対策の検討がしやすくなります。棚卸しが正しく行われないと、対策漏れが発生し、リスクを放置することになりかねません。注意が必要です。

通信経路の把握

棚卸しが終わったら、それらのIoT機器がどのような通信経路で他のシステムとつながっているかを把握します。外部ネットワークに接続する必要のない機器が接続されていたり、不要となったIoT機器が接続され続けていた、という状態は非常に危険です。IoT機器の通信経路を把握することで、危険な状態を未然に防ぎ、リスク低減につながります。

想定されるリスクの洗い出しと対策目標設定

通信経路の把握まで完了したら、想定されるリスクを洗い出したうえで、対策を立てていきます。IoT機器自身が持つデータとネットワークを介してアクセスできる資産には何があるのか。それらが通信経路を介して改ざん・漏えいしたり、機器が乗っ取られるリスクはどの程度か。リスクが顕在化した際の影響度合いは。リスクと影響度が洗い出せたら、対策の優先度や対策目標を設定し、それぞれの機器のセキュリティ対策を具体的に進めていきます。