デジタル技術の進展とともに、着実に裾野が広がりつつあるIoT。その活用を前提とした時代を迎えつつある今こそ、企業においてもIoTにおけるセキュリティ対策を再考すべきタイミングとも言えるだろう。この記事では、企業におけるIoT機器のセキュリティリスクやその対応方法について解説する。
IoT機器を取り巻くセキュリティリスク
身の回りのあらゆるモノがインターネットに接続する時代となって久しい。ガジェットと呼ばれるものだけでなく、今ではモノを開発する際にも、インターネットへの接続を前提としたビジネスモデル、あるいはサービスが少なくない。こうしたインターネットへの接続を前提にしたモノ、サービスの複合体をIoTと呼ぶ。
一方で、攻撃者もこうした時代の流れを攻撃の好機と捉え、さまざまな攻撃手法、マルウェアが日々開発されている。そのため、IoT機器は攻撃者に狙われることを前提とした利活用が求められている。総務省が公開しているIoTセキュリティガイドラインでは、以下のようなIoT機器が有する独自の特性がセキュリティリスク増大の要因としている。
IoT機器のライフサイクル
工場における機械設備や医療機器などは、10年以上の耐用年数を持つ製品も少なくないが、導入時に設定したセキュリティ対策は、時間の経過とともに生み出される攻撃手法を前に無力化していくことになる。従来、こうした機器はアナログなもので、「アップデート」という概念を持たなかった。そのため、過去の経験に基づいた意識のまま利用してしまうことで、ファームウェアのアップデートに未対応、というケースがある。
また、目の届きづらい場所に設置したことで、その存在自体を忘れてしまうということも想定し得る。ライフサイクルが長いがゆえに、これらの機器はセキュリティリスクを抱えてしまうことになるのだ。
IoT機器への監視体制
パソコンやサーバー、スマートフォン(以下、スマホ)の場合、個人であれば自らが適切に管理を行うことになる。また、企業・組織であれば、情報システム部門、総務部などの管理者が継続的に機器の管理・監視を行う。
しかし、IoT機器は「モノ」という性質上、管理・監視が適切に行われないケースもある。また、モノ自体にユーザーインタフェースが設けられていないものもあるため、状態を把握しづらい場合もあり得る。そのため、ファームウェアのアップデートが適切に行われず、さらには攻撃を受けた場合でも監視体制外のことから、被害に気付かない場合すらあり得る。
IoT機器へのセキュリティ対策
先述のとおり、IoT機器はインターネットに接続することを前提とした、拡張されたモノと捉えるべきである。しかし、実際には従来のアナログなモノとしてみなしがちであり、そうした姿勢・考えこそが脆弱性とも言える。こうした前時代的な捉え方の結果として、適切なセキュリティ対策が放置されているのだ。サーバーやパソコンと同様、インターネットにつながるコンピューターを内包したモノという認識に改める必要があるだろう。
IoT機器を標的としたセキュリティインシデント
近年、IoT機器を狙ったセキュリティインシデントが増加傾向にある。実際に、以下のようなインシデントが生じている。
マルウェアMiraiによるDDoS攻撃
IoT機器の脆弱性を突いて爆発的に感染を広げ、ボットネット化した事例。2016年9月には、18万台の端末が一斉に攻撃を仕掛け、過去に類を見ない規模のDDoS攻撃が繰り広げられた。以降も活動が継続されたものの、2018年初頭に活動は沈静化するに至った。
IoT機器経由での情報窃取
2018年、攻撃者が米国の研究機関の組織内部ネットワークに不正侵入。組織内部に設置されていた、「Raspberry Pi」経由で10ケ月近くもの間、重要な組織情報などを窃取された。
ルーターの脆弱性を悪用するMeris
2021年、ラトビア製ルーターの脆弱性を突いて感染するMerisにより、大規模なボットネットが構築された。このボットネットにより、Miraiの3倍近くとなる、2,180万RPS(Request Per Second)もの攻撃トラフィックが観測された。
※RPS:1秒間に処理可能なリクエスト数を示す単位(リクエスト/秒)
ほかにも、監視カメラを標的としたセキュリティインシデントも後を絶たない。初期設定のずさんさ、適切なセキュリティも未対策といった要因により、刑務所、病院、大企業などで使われていた15万台のカメラのライブ映像が流出したこともある。こうした監視カメラでは、過去にも多くの被害が生じている。このように、今後も引き続き、IoT機器が有力な攻撃対象になる可能性が高いと見込まれている。
企業内で利用されるIoT機器の種類
IoT機器については、セキュリティリスクが問題視されてはいるものの、企業・組織において、今後ますます普及していくものと思われる。ルーターやネットワーク機器などの従来製品に加え、センサーやカメラを実装してインターネットに接続し、データを集積するような用途での活用も進んでいるためだ。こうした機器から得られるデータを集積することで、さまざまな分析や効率化への活用が見込めるなど、企業・組織にとって恩恵が大きい。具体的には、以下のような機器がネットワークに接続されるようになっている。
機械設備
インターネット上で設備の稼働状況を確認・管理したり、センサーを通じて消耗品の摩耗状況をリアルタイムに把握したりといったことが可能となる。
複合機
スキャンしたデータをインターネット上で閲覧、あるいはトナーや紙の交換時期を自動的に保守サービス会社に通知し、最適なタイミングで補充が可能となる。
監視カメラ
遠隔からスマホなどで、監視カメラの画像を閲覧することが可能だ。近年では、AIを活用して不審な挙動が検出されたらアラートを通知する、あるいは不審な挙動が生じる前にその危険性を検知するサービスも生まれている。また、消費者の目線や導線をカメラで解析し、マーケティングに応用する事例も増えている。
医療機器
点滴装置、MRI、ロボットアームをはじめ、遠隔操作やデータ収集を目的にネットワークに接続されるようになっている。
空調設備、ボイラー
複数の空調やボイラーを集中管理するためにネットワークへ接続し、遠隔監視、コントロールができるようになっている。また、センサーなどを組み合わせて温度、湿度、空気を監視することで安全性を高めようとするソリューションも想定される。
ほかにも、従業員にウェアラブル端末を装着させ、健康状態、ストレスチェックなどを行う事例も出てきている。ウェルビーイングといった概念が普及していくとともに、こうした取り組みも増えていくことが見込まれる。
企業内で利用されるIoT機器へのセキュリティ対策
IoT機器の脅威は今後も拡大していくと想定される。そのため、IoT機器を安全に活用するためにも、適切なセキュリティ対策が欠かせない。具体的には、以下のような対策が考えられる。
導入方針やルールの明確化
IoT機器を導入する際は、安易な導入を回避する必要がある。現場で利用する従業員がどのように取り扱うのか、事前に方針やルールを明示しておくようにしたい。情報機器全般におけるセキュリティ対策と同様に、経営陣がリーダーシップを発揮するのが望ましい。経営陣主導でIoTセキュリティに関する基本方針を策定し、社内に周知徹底すべきだろう。また、コンピューターやパソコンと同様に、IoT機器にも管理者を定める必要がある。
IoT機器の監視体制の整備
IoT機器の場合、脆弱性が放置され、攻撃にすら気づかないというケースがある。そのため、適切な監視体制を構築し、可能であれば機器のログも取得しておきたい。また、定期的にログを分析することで、状況を把握できる体制を構築しておくことが望ましい。
「モノ」ではないという認識を持つこと
IoT機器はインターネットにつながったコンピューターを内包するモノである。従来持っていたモノに対する考えを改め、パソコンやサーバーなどのコンピューターと同様に扱うこと。そうした認識を持つことで、自ずとセキュリティ対策への意識も変わってくるはずだ。通信状態をチェックする、脆弱性を解消する、といったことはもちろんのこと、管理画面のパスワードを適切なものに設定する、不要なポートの停止、といったことも対策として挙げられる。
DX(デジタルトランスフォーメーション)という言葉が飛び交い始めて久しいが、今後の事業経営はデジタルを上手く活用できるかどうかが生命線の1つとなりつつある。企業でも攻めと守りのバランスを取りながら、デジタル時代を乗り切ることが求められている。