さまざまなモノがつながるIoT
外出先から自宅のWebカメラを遠隔操作して自宅の様子を見ることができるなど、私たちの身の回りにあるWebカメラや家電製品がインターネットにつながる時代がやってきました。また、企業においても工場の機械設備をインターネットにつなげることで故障の予測に活用するなど、さまざまなモノがインターネットにつながることで便利で豊かな暮らしが実現できるようになっています。
IoTのセキュリティリスク
このように便利で新たな価値を創造できるIoTですが、さまざまなモノがインターネットにつながるということは、同時につながりたくない相手ともつながってしまう危険性をはらんでいます。例えば、家庭内に取り付けたWebカメラが勝手に乗っ取られ、私生活が丸見えになってしまうといったものです。これは、プライバシーの侵害にもつながってきます。
従来のインターネットにつながっているPCやスマートフォンと比べてみましょう。PCやスマートフォンは定期的にOSのアップデートを実行することが今では常識化され、ウイルス対策ソフトを入れることでセキュリティリスクを防いできました。
では、ネット家電やWebカメラなどのIoT製品はどうでしょうか?
これらのIoT機器は、PCと異なり(異なって)CPUやメモリといった十分なリソースが備わっていないモノがほとんどです。このように限られたリソースでは十分にセキュリティ対策を施すことが難しいため、不十分な対策のままネットワークにつながっている危険性があり、これが大きな脅威となっています。また、これらの機器はPCなどに比べると10年、20年といった長期間にわたり使用するものが多く、十分な管理が行き届きません。同時にIoT機器にはPCのように画面が付いているわけではありませんので、十分な監視ができず、知らぬ間に乗っ取られたり、ウイルスに感染しているということも起こりえます。
その結果、たった1台の機器が乗っ取られたり、ウイルスに感染することで「つながる」というメリットが瞬く間に「被害の拡大」という脅威へと変化します。
マルウェア「Mirai」によるセキュリティ攻撃
最近話題になったのは、IoTマルウェア「Mirai」によるDDos攻撃です。これは、まさしくIoT機器の脆弱性が狙われた事件でした。DDoS攻撃とは、インターネット上にある多数のWebカメラやルーターを踏み台として、標的サーバーに大量のデータを送り続け、サービスの提供をストップさせてしまう攻撃です。
このようにIoTにおけるセキュリティリスクとしては、
・リソースが限られているためセキュリティ対策に限界がある
・PCなどに比べ使用期間が十年単位と長期にわたる
・つながることで被害が拡散する
・監視が行き届かない
といったことが挙げられます。
利用者における4つのセキュリティ対策
そこで利用者としては、次のような対策をとることが必要になります。
1)問合せ窓口やサポートがある機器・サービスを購入、利用する
トラブル発生時に困ることのないよう、機器のアップデートに関する情報を入手し、不都合が生じた場合に問合せができるようにしておきます。
2)初期設定に気を付ける
あらかじめ設定されたパスワードや、分かりやすいパスワードでは不正利用の恐れがあります。そのまま使用せず、推測されにくいものを設定します。
3)使用しなくなった機器は電源を切る
使用しなくなった機器は、そのままにしておくと乗っ取られ、不正利用される恐れがあります。インターネットに接続したままにせず、コンセントから抜いておきます。
4)機器を手放すときはデータを消す
データが残っていると個人情報が漏えいする恐れがあります。情報は、確実に削除します。
提供者における5つのセキュリティ対策
同時に提供者も以下の点を配慮しなければなりません。
1)IoTの性質を考慮した基本方針を定める
2)IoTのリスクを認識する
3)守るべきものを守る設計を考える
4)ネットワーク上での対策を考える
5)安全安心な状態を維持し、情報発信・共有を行う
これからもIoTはどんどんと世の中に普及していくことでしょう。便利さとは裏腹に新たな危険もあります。セキュリティ要件を満たした製品に認証マークを付与するなどの対策も進められていますが、IoT製品の提供者とともに、利用者もこの危険性を意識したセキュリティ対策が重要になってきています。