メニュー

IoTと情報セキュリティ:IoTセキュリティの基礎知識1

IoTセキュリティの基礎知識

更新日:2017年5月24日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

IoT(Internet of Things:モノのインターネット)は、インターネットに接続されたさまざまな製品が、相互に情報を交換し、管理・制御する仕組みです。家電や自動車をインターネットにつなげることで、パソコンや携帯電話など情報端末を使って遠隔操作できます。IoTという言葉は、新聞や雑誌などのメディアを始め、さまざまな場面で使われています。一方で、IoTの本質を正しく語れる人はごく少数です。言葉だけが広がっていく中で、IoTに対する懸念も生まれています。その一つが、情報セキュリティへの各種被害です。

本連載では、8回にわたってIoTの本質を解説しながら、情報セキュリティ(以下、セキュリティ)面で考慮すべきことを述べていきます。今回のテーマは「IoTとセキュリティの重要性」です。

今すぐ、技術資料をダウンロードする!(ログイン)

1. バズワード化するIoT

IoTという言葉は、流行語になるほど広まっています。同時に、かつての「Web2.0」や、「クラウドコンピューティング」などのように、定義や意味があやふやなまま使われるバズワード化も発生しています。

市場も同様で、既存製品の仕様をほとんど変えずにIoT製品として売り出すようなことが横行しています。また、製品にインターネット接続機能を付けただけの、「にわかIoT製品」も氾濫しています。実際、マイクロプロセッサとネットワークインターフェースを備えた安価な小型モジュール(図1)を利用し、製品にインターネット接続機能を持たせることは難しくありません。

図1:安価なモジュールの例、Raspberry Pi

図1:安価なモジュールの例、Raspberry Pi(Photo by G. T. Wang – Raspberry Pi B+(2015) / CC BY 2.0

もちろん、本来のIoTへの取り組みも進んでいます。これまで単独で使われていた製品をネットワーク化することで、効率的な管理を行ったり、情報を活用したりして新しい価値を生み出すことも盛んです。

クラウドサービスなどを利用することで、今まで一緒に使うことができなかった異種の機器ネットワークや、異なるメーカーの製品を組み合わせたシステムの運用が可能になります。IoTの本質は、オープンなネットワーキングにあるのです。その中で、IoTの本質から外れた製品やサービスはとう汰され、データの共有と有効活用を前提とした本来のかたちに集約されていくことでしょう(図2)。

図2:IoTを自動販売機に導入した場合のデータ利用例

図2:IoTを自動販売機に導入した場合のデータ利用例

2. 簡単につながることの危うさ

これまでITの世界とは無縁だった企業がIoTに取り組むことは、技術的には難しくありません。製品をインターネットに接続することも簡単です。しかし、つなげることと、活用することは異なります。IoT参入後、インターネットを活用したサービス展開は、試行錯誤の連続となるでしょう。なぜなら、インターネットの利用で自社の製品やサービスがどのような付加価値を得られるのか、参考となる前例が極めて少ないからです。参入直後は既存の技術を使うにしても、インターネットを使った製品やサービスを維持・管理していくためのノウハウは、一から学ぶ必要があります。

ノウハウがない企業がIoTに参入する上で有効的な手段の一つは、ITスキルを持った人材を採用することです。しかし、これまでインターネットのようなオープンな環境と無縁だった企業が、ITスキルの高い人材を受け入れるとき、社内に根付いている文化が障害になることがあります。IoTに本格的に取り組むには、組織的・戦略的に従来の文化を見直す必要があるのです。

3. セキュリティの常識と非常識

IoT参入にあたって尽力しなければならないもう一つのこと、それはセキュリティの強化です。現場だけではなく、組織全体で取り組まなければなりません。

インターネットが世に広まって20年超、ITを使い慣れた業界にはネットに関する経験が十分蓄積されています。利用方法だけではありません。2000年代に入って激化したコンピュータウイルスやサイバー攻撃の被害を少なからず受け、その経験から得たセキュリティに関するノウハウは、今や業界の常識となっています。

IT業界の最前線から見ると、IoTに参入する業種や企業の多くは、セキュリティに関する常識が欠落しているのが分かります。近年頻発している事例として、ネットワークカメラやHDDレコーダーなどがネットワーク経由でのマルウェア(コンピュータウイルスなど、悪意を持って作られたソフトウェア)感染があります。その結果、情報を盗まれたり、他者へのサイバー攻撃の道具に使われたりしています。多くは、IT業界ではほとんど使われていないTelnet(Teletype Network:ネットワークに接続された機器を遠隔操作するために使用するアプリケーション層プロトコル)を接続許可していたことが原因で起きています。この接続許可は、本来非常識なことです。セキュリティ専門家の間では数年前から、ネットワーク上によるTelnetの探索活動の活発化が問題視されていました。しかし、その原因がマルウェアに感染した機器であったと、最近判明したのです。この事実を知ったIT関連者の多くは、「まさか!」と驚きました。

ネットワークカメラやHDDレコーダーなどの機器に関しては、上記以外にもネットワークから攻撃可能なぜい弱性が相次いで発見されています。そのため、製造・販売元の各企業に対し、社会的な責任として取り組みが求められています。大企業も例外ではなく、むしろ部門間の縦割りによる弊害で、社内でもセキュリティ上のノウハウ流通が阻害されがちなのが現状です。情報セキュリティの製品やサービスを売りにしながら、他方では安全性に欠けたIoT製品を出荷している、といった笑い話のようなことが実際に起きているのです(図3)。

図3:ネットワークカメラのぜい弱性検索結果)

図3:ネットワークカメラのぜい弱性検索結果(引用:IPA独立行政法人情報処理推進機構、JVN iPedia 脆弱性対策情報データベース)

いかがでしたか? 今回は、IoTとセキュリティの重要性について説明しました。次回は、情報セキュリティのキホンを紹介します。お楽しみに!

  • 基礎知識を社内で利用したい方

ピックアップ記事

tags