IoTのセキュリティ対策とネットワークの関係性を解説します。

IoTは広く社会に浸透し、IoTシステムを導入している企業も増えています。

そんな広く使用されているIoTですが、IoTのセキュリティ対策を危惧する方も多いのではないでしょうか。

スマホやパソコンは、セキュリティ対策ソフトウェアをインストールするなどの対策を講じていても、IoT機器のセキュリティ対策ができているか不安に感じる方も珍しくないでしょう。

過去にはIoT機器をマルウェアに感染させ、サーバーをダウンさせるという事例がありました。

また近年では監視カメラなどが標的とされることが増え、IoTのセキュリティ対策を怠るとサーバーがダウンするなど予期しない損害を被る可能性があります。

そこで、今回はIoTのセキュリティ対策について解説します。

IoTシステムとは

IoTシステムとは、IoT（アイオーティー）を活用した情報システムのことです。

IoTは「Internet of Things」の略で、日本語に訳すと「モノのインターネット」とも呼ばれています。

物理的なモノに通信機器を搭載し、インターネットと接続や連携が可能です。

IoTシステムを導入することで、大きく分けて3つのことが実現できます。

生活をする上でIoTシステムが活用されたモノはたくさんあり、知らないうちにIoTシステムに触れていることも珍しくありません。

例えば家電や自動車など、ネットワークにつながるものはIoTシステムが活用されています。

IoTシステムに求められるセキュリティ

IoTシステムの活用は国も推進しているため、今後どんどん活用され生活の中に組み込まれていくでしょう。

ですが、IoTシステムの導入に伴って、切っても切り離せないものが「セキュリティ」です。

経産省が平成30年に創設した「コネクテッド・インダストリーズ税制（IoT税制）」においても「必要なセキュリティ対策が講じられていること」が、税制措置を受ける条件として挙げられていました。（現在この制度は終了しています。）

とはいえ、IoTのセキュリティ対策は一言でこういう対策をする、とは言い切れません。

IoTのシステムや機器には今やさまざまです。それらすべてに通用する最適解を出すことは難しいため、個別でセキュリティ対策を講じていく必要があります。

IoTシステムのセキュリティリスク

上記で説明したように、IoTシステムのセキュリティ対策は個別での対策が必要です。さらにIoTシステムや機器にはさまざまあるため、リスクは多岐に渡ります。

ですが、IoTにおいて考えられるリスクは大きく3つに分類されます。

情報が盗まれるリスク

センサーやスピーカー、防犯カメラなどの機器が乗っ取られることで情報が窃取されてしまうリスクがあります。

Webサイトの中には、監視カメラの映像を無断で公開しているサイトもあるのです。こういったサイトで公開されている監視カメラは「パスワードが初期設定のまま」のものがほとんどです。

初期設定パスワードは容易に取得することができるため、IoTシステム導入の際には初期パスワードの変更、アクセス制限を徹底する必要があります。

物理的事故、故障を引き起こすリスク

サイバー攻撃は何もネットワーク機器に限られません。制御システムそのものにサイバー攻撃を仕掛けられることもあるのです。

そうなってしまうと、IoTの制御がきかなくなり、物理的な事故や故障につながります。

例えば、自動車業界でもIoT化が進んでいますが、このIoTの制御システムそのものが乗っ取られたり故障してしまったら大変なことになります。産業機器なども同様です。

制御システムにIoTが導入されているシステムや機器においては、人命にかかわる可能性があるため、特に注意が必要です。

踏み台攻撃に利用されるリスク

踏み台攻撃とは、第三者のサーバーやデバイスを乗っ取りサイバー攻撃や迷惑メールの発信源に利用することを言います。つまり知らないうちにサイバー攻撃の加害者にされているのです。

2017年に起きた、AmazonやTwitter、Netflixなどの大規模Webサービスが標的となり、DDoS攻撃の踏み台にされた事例は大きな話題になりました。

大規模なアクセス障害が発生させた「Mirai」というマルウェアは、当時50万台以上を乗っ取っていたと推測されています。

マルウェアは次々と亜種が生まれ、今でもマルウェアの被害報告は多数上がっています。

企業の信頼問題にも関わるため、厳重なセキュリティ対策が必要になるでしょう。

IoTとネットワークの関係性

IoTと言っても、狭義のIoTと広義のIoTでは意味が異なります。

狭義のIoTはモノに付けるセンサーや制御ソフトなどの技術を表し、広義のIoTは社会全般に関係する様々な技術やサービスが含まれます。

広義の意味では、例えばインターネットに繋がる万歩計もIoTです。

IoTは広義の意味で使われるため、一言で「IoTのセキュリティ対策」と言っても難しいです。

IoTのセキュリティ対策を実施するには接続するネットワークと、そのネットワークに繋がるIoTシステムの両側から対策をおこなう必要があります。

IoTとネットワークの知っておくべきセキュリティ対策

監視カメラや人感センサーなどのIoT機器は、24時間365日稼働することが前提なため、その分サイバー攻撃を受けやすくなります。

しかしIoTシステムはネットワークに繋げて使用しており、すべてのサイバー攻撃を防ぐことは不可能に近いです。

それは、例え最新のセキュリティ対策を講じても、次々と新しい攻撃手法が登場するからです。

IoT機器がサイバー攻撃を受けた場合、以下のリスクが考えられます。

IoTのセキュリティ対策で重要なのはサイバー攻撃を完全に対策することを目指すのではなく、サイバー攻撃を受けたときの被害を最小限に抑えることです。

ここではIoTを利用する上で、知っておくべきセキュリティ対策を5つご紹介します。

IoTデバイスのファームウェアをアップデートする

IoTデバイスのファームウェアを最新のファームウェアにアップデートすることで、微弱性を突く攻撃を避けることができます。

ファームウェアのOSはデバイスと同様、定期的に新しいバージョンが提供されますが、自動でアップデートされる設定になっていないこともあります。

最新のファームウェアが提供されていないか、定期的に確認しアップデートましょう。

ファームウェアのアップデートには注意が必要で、入手したファームウェアの改ざんリスクがあります。

改ざんされたファームウェアは、マルウェアが仕込まれている危険があるためファームウェアは正規のサイトから入手するようにしましょう。

入手したファームウェアが改ざんされていないか、マルウェアチェックで確認することも大切です。

開放ポートを放置しない

ポートとはネットワークでデータ通信する時の、情報の出入り口のことです。

ポートが開放されていると、外部から開放ポートを狙って攻撃されるリスクがあります。

サイバー攻撃を防ぐためにも使用していない不要なポートは、放置しないこともIoTのセキュリティ対策として重要です。

初期パスワードの変更

IoTのセキュリティ対策で簡単な方法は初期パスワードの変更ですが、意外にも変更されていないIoT機器は多いいです。

IoT機器を狙うマルウェアの「mirai」は、パスワードを変更することでリスクを減少できます。

変更するパスワードは生年月日や電話番号、同じパスワードの流用などは避けましょう。

IoTゲートウェイを経由した接続

IoTゲートウェイとは、モノとインターネットを繋ぐ中継地点のような役割を担う機器です。

パソコンやスマホのようなデバイスの中には、単体で直接インターネットへ接続できるものもありますが、直接の接続は避けた方がいいです。

基本的にIoTデバイスは無防備な状態のため、直接インターネットへ接続するとサイバー攻撃を受けやすくなります。

そこでセキュリティ対策がされた、IoTゲートウェイを経由した接続が重要になります。

IoTゲートウェイは自社で導入できますが、クラウドで提供されているゲートウェイを利用することも可能です。

信頼性の高いクラウドを利用する

自社でセキュリティ対策をすべて実施するのは簡単ではなく、費用もかかります。

クラウドを利用することでクラウドを提供する会社が最新のセキュリティ対策を講じ、サーバーを守ことができます。

しかし大切な情報が集約されているデータの管理をクラウド事業者に任せるため、セキュリティやサポート体制、柔軟性などを確認し信頼性の高いクラウドサービスを提供している企業を選ぶことが重要です。

まとめ

IoTのセキュリティ対策を実施するには接続するネットワークと、そのネットワークに繋がるIoTシステムの両側から対策をおこなう必要があります。

またIoTシステムはネットワークに繋がっているため、全てのサイバー攻撃を防ぐのは不可能に近いです。

大切なのは、サイバー攻撃を受けた時に被害を最小限に抑えることです。

IoTデバイスのファームウェアをアップデート、開放ポートを放置しない、初期パスワードの変更などのIoTのセキュリティ対策をしてはいかがでしょうか。