メニュー

ネットワーク接続のセキュリティ:IoTセキュリティの基礎知識3

IoTセキュリティの基礎知識

更新日:2017年6月21日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

前回は、IoT(Internet of Things:モノのインターネット)における、情報セキュリティのキホンを紹介しました。IoT製品やその関連サービスを利用する際はネットワークへの接続が必須です。しかし、インターネットなど公開ネットワークを経由した接続は、サイバー攻撃や情報漏えいなどのリスクを被ることがあります。今回は、こうしたネットワーク接続、特にTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークやインターネット接続に関するセキュリティについて解説します。

今すぐ、技術資料をダウンロードする!(ログイン)

1. アクセス制御と認証

IoTは、関連製品をネットワークに接続し情報交換することで、さまざまな機器やサービスとつながります。しかしそれは同時に、ネットワークに接続している全ての機器から意図しない接続を求められ、通信が行われる可能性があることを意味しています。

ネットワーク接続後のユーザ認証などを確実に行えば、不正アクセスは防げます。しかし、ソフトウェアなどのぜい弱性や何らかの不具合により、こうした認証機構が回避されてしまうことがあります。そのため、必要な相手以外との通信はネットワーク接続の段階で排除しておくのが安心です。これがネットワークレベルでの「アクセス制御」です。また、接続するIoT機器が不正でないかを認証することも大切です。ネットワーク上でのアクセス制御や認証方法には、さまざまな種類があります。ここではいくつかを紹介しましょう。

IPアドレスとポート番号による制御

コンピュータOSのネットワーク機能の多くには、通信パケットのヘッダ情報(発信元や宛先のIPアドレス、ポート番号、TCP/UDPなどの上位プロトコル種別)で受信許可不許可を選別する、パケットフィルタ(もしくはACL:Access Control List)機能が搭載されています。例えば、接続を許可する相手のIPアドレスが明らかな場合、そのIPアドレスに必要なポート(サービス)への通信のみを許可します。このようにしてアクセス制御の単純な設定が可能になります(図1)。

図1:OSにおけるパケットフィルタ

図1:OSにおけるパケットフィルタ

ただし、この方法は複数の接続相手がいたり、IPアドレスが変動したりする場合、適用が困難です。そしてIoTではこのようなケースがほとんどです。通信を受け入れるポート番号を絞れても、通信相手を絞ることは難しいのです。そのため、IoTではネットワークレベルで認証するアクセス制御を行います。

TLSによる認証

TLS(Transport Layer Security)は、TCP/IPネットワークにおける暗号通信のプロトコルです。かつてSSL(Secure Sockets Layer)という、TLSの元になったプロトコルがありました。今もSSL自体は残っていますが、ぜい弱性が明らかになったため現在利用は推奨されていません。今、SSLと呼ばれているものの大半は、その進化形であるTLSに置き換えられています。

TLSは通信の暗号化と同時に、接続時の認証サポートも行います。TLSの認証は暗号鍵や電子証明書を使用し、非常に堅固です。たとえばメーカー発行の電子証明書は、機器の出荷時に組み込まれているか、初回利用時にメーカーのサービスからダウンロードして取得できます。そして電子証明書のある機器のみが、サービスサイトや他の機器などに対し、TLS通信を確立できます(図2)。

図2:TLSによる通信の流れ

図2:TLSによる通信の流れ

しかしTLSは複雑なプロトコルなので、暗号化や復号といったCPU負荷の高い処理を伴います。そのため、小規模センサモジュールのような機器に使用される、能力の限られたCPUやMCU(Micro Controller Unit:組込み用マイクロプロセッサ)には、負荷が大きすぎる場合があります。また、バッテリー駆動の機器は電力消費の増加も問題です。よって最近ではIoT向けに、負荷の小さい暗号方式(軽量暗号)やプロトコルが開発されています。ただし、個々の機器にこうしたプロトコルを実装するのは必ずしも現実的ではなく、別の保護策が必要なときもあります。

また、TLSをサポートするソフトウェアにぜい弱性が見つかることもあります。そのようなときはアップデートを確実に行える手段を確保します。なお、TLSはTCPベースの通信保護に特化しています。データグラム(Datagram:配送成功・到達時間・到達順序が保証されないパケット交換網での基本転送単位。信頼性は低いものの、通信速度はパケットより優位性がある)に基づくUDPベースの通信では、DTLS(Datagram TLS)を使用します。

ネットワークの一括保護(境界防御)

ある区域内に設置されたセンサ群のように、同じ利用者や目的などによってグループ化できる機器を想定してみましょう。これらを一度、専用の閉ざされたネットワークに接続します。そしてゲートウェイ(ファイアウォール)を介し、TLSやVPN(Virtual Private Network)を利用して、他の機器やインターネット上のサービスなどと接続します。

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

2. ネットワーク通信保護のポイント

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

  • 基礎知識を社内で利用したい方

ピックアップ記事

tags