セキュリティ

IoTのセキュリティはなぜ必要?構築の流れや具体的な対策を解説

IoTシステムの導入が増加するにつれて、サイバー攻撃によって個人情報の流出や、通常業務が行えなくなるような被害が増えています。

当記事をご覧の方の中には、このようなリスクを避けるために、IoTシステムのセキュリティに関して検討している方もいるでしょう。

そこで今回は、「IoTシステムに関するセキュリティの概要や構築の流れ」について解説します。セキュリティを確保したIoTシステムの構築に悩んでいる方は、参考にしていただけたらと思います。

IoTに求められるセキュリティとは?

セキュリティ

IoTシステムを導入する際には、サイバー攻撃に対するセキュリティの確保が求められています。

例えば日本では、IoT導入による生産性向上を実現することで税の優遇措置が受けられる、コネクテッド・インダストリーズ税制(IoT税制)が立ち上げられました。認定を受けるためには、必要なセキュリティ対策が講じられていることが条件の一つになっていました。※IoT税制は令和2年3月31日に廃止となっています。

また、アメリカで2020年5月に公開されたNISTIR 8259というIoT機器製造者向けのサイバーセキュリティに関する指針では、IoT機器の製造者に推奨されるサイバーセキュリティに関する活動6つが整理されています。さらに2021年5月には、バイデン大統領がサイバーセキュリティ向上に関する大統領令にサインしました。

この背景には、エネルギーに関する企業がランサムウェア攻撃を受けたことで、石油パイプラインを停止せざるを得なくなり、燃料の配給が脅かされることになった事件が大きな影響を与えています。このように、世界中でIoTシステムに対するセキュリティの強化が求められています。

IoTのセキュリティが構築されていない場合のリスク

セキュリティに関わるリスク

IoTシステムのセキュリティが適切に構築されていない状態で、外部から攻撃を受けてIoTシステムが制御不能になった場合のリスクとしては、以下のような項目が想定されます。

  • 機密情報の流出
  • (制御不能に陥った結果として起きる)物理的な事故
  • 踏み台攻撃に利用されサイバー攻撃に加担

機密情報の流出

防犯カメラや管理サーバなどが悪意を持って攻撃されることで、個人情報や機密情報が流出してしまうリスクがあります。

例えば、2020年の12月には国内スマホ決済サービスで、加盟店の店名や電話番号、代表者に関する情報、営業先の店名などさまざまな情報が、データベース管理サーバへの不正アクセスにより流出しました。(※P13参照

機密情報の流出は、社内の影響だけでなく大きく報道されることになり、企業としての社会的な信用失墜など、経営に大きな影響を与える可能性があります。

制御不可状態に陥った結果の物理的な事故

ネットワークに接続される自動車や工場で用いられているIoT設備がハッキングされることで、適切な制御ができずに物理的な事故を発生させられる可能性があります。

特に自動車業界では、インターネットと接続することでさまざまな情報サービスを得られるコネクテッドカーの需要が高まっており、自動車の販売後にソフトウェアを遠隔でアップデートさせるような仕組みが導入されています。これらの機能を悪用して、外部からハッキングされるような状況が実際に発生しています。

悪意を持ったハッカーに攻撃され、自動車や設備を遠隔操作されると、人命に関わるような物理的な事故が引き起こされてしまうため注意が必要です。

踏み台攻撃に利用されサイバー攻撃に加担

踏み台攻撃とは、第三者のデバイスやサーバを乗っ取り、それをサイバー攻撃の拠点にすることです。

スパムメールなどからマルウェアに感染した機器が、他のIoT機器やサイトへのサイバー攻撃に使用されるおそれがあります。

踏み台を利用してサイバー攻撃された企業から、被害に対する賠償金などの責任を追求されることがあり、特に取引先との契約解除などは会社全体に大きな影響を与えます。また、セキュリティ管理の甘い会社として知られることになり、新規の営業活動にも悪影響を及ぼすでしょう。

IoTのセキュリティを構築する際の流れ

産業用IoT

サイバー攻撃による被害を最小限にとどめるために、IoTシステムのセキュリティを構築する際の代表的な流れを紹介します。どのように着手したらいいか分からない場合には、ぜひ参考にしてください。

  1. IoTのセキュリティ不備に関するリスクを共有
  2. IoTシステムの分析によるリスクの洗い出し
  3. 想定外のリスクに配慮したセキュリティ設計
  4. セキュリティを考慮したIoTシステムの構築・テスト
  5. セキュリティを保つための運用・保守

会社全体でIoTのセキュリティ不備に関するリスクを共有

IoTシステムのセキュリティ対策は、システムの規模が大きいほど多額のコストと人材が必要です。

単独の部門では完結せず、全社的に協力して取り組む必要があります。

また、経営者がIoTシステムのセキュリティに不備があった場合のリスクを認識し、責任を持って会社全体に対策の方針を共有することで、セキュリティ対策に取り組むために必要な組織としての下地ができます。

IoTシステムの分析によるリスクの洗い出し

導入しようとしているIoTシステムの構成を事前に分析し、リスク要因の洗い出しを行います。ここで洗い出されたリスク要因を基に、それらを解消できるようなセキュリティ設計が行われるため、重要なポイントです。

分析の観点としては、IoT機器単体や接続するネットワーク、通信相手、通信内容などが挙げられます。

想定外のリスクに配慮したセキュリティ設計

リスクの洗い出しが完了したら、それらを解消できるようにセキュリティ設計を行います。この際には、機器単体、ネットワーク、システム全体の観点から、セキュリティを確保できるようにするといいでしょう。

また、洗い出したリスク以外にも気づかなかったリスクが存在していたり、新たなリスクが生まれたりすることがあります。

そこで、セキュリティ設計を行う際には一つの想定外の出来事でセキュリティが破綻しないように、異常検知の仕組みや外部からの監視など、冗長設計を行うことで信頼性を高められます。

セキュリティを考慮したIoTシステムの構築・テスト

IoTシステムを構築する際には、システムおよびセキュリティの設計時に想定した通りに構築できるかを確認します。特に、システム全体を構築する際にはパスワード(ワンタイムパスワード・二段階認証など)や適切なアクセス権の設定などを行います。

実際に構築したIoTシステムでテストを行うことで、サイバー攻撃された場合の影響を確認し、想定よりも結果が悪かった場合には追加の対策を行うことが重要です。

セキュリティを保つための運用・保守

セキュリティを保ち続けるためには、セキュリティに関するアップデートを適切なタイミングで行う必要があります。システム構築時には問題なかったとしても、サイバー攻撃を行う側の技術が進歩すれば、新たなリスクが生じます。

また、不用意なアクセス権限の付与など、自らリスクを生み出さないように注意が必要です。もし、IoTシステムに脆弱性が見つかった場合には、速やかに管理者に連絡を行い、適切な処置を行いましょう。

具体的なIoTのセキュリティ対策例

IoTが実現すること

IoTシステムのセキュリティ対策として多いのが、システムを構成する機器や構築したネットワークに依存するものです。ここでは、どのようなシステムでも共通して確認しておきたい、代表的なセキュリティ対策の例を紹介します。

  • 初期パスワードの更新
  • ファームウェアの最新化
  • ポートの管理

初期パスワードの更新

初期パスワードの更新は、IoTシステム導入時に行える簡単な対策です。しかし実際には、実施されていないIoT機器は多いと言われています。

ネットワークカメラや家庭用のルーターなどを攻撃対象とし、爆発的に広がった「Mirai」というマルウェアは、そうした機器が初期パスワードのまま使われていたことで感染の原因となる例が多くありました。

簡単に不正アクセスができないようなパスワードへの更新が必要です。

ファームウェアの最新化

セキュリティ対策が施された機器であったとしても、ハッキング側の技術が進歩することにより、新たに脆弱性が発見されることがあります。常に最新のファームウェアにアップデートすることで、確認されている脆弱性に対するセキュリティを強化できます。

また、改ざんされたファームウェアにアップデートしてしまうと、ウイルスに感染するおそれがあります。改ざんされたファームウェアの影響を受けないために、公式サイトなど正規の置き場からダウンロードすることが必要です。

ポートの管理

IoT機器に対する攻撃の事例として、外部に開放された通信ポートを対象とする攻撃の割合が高くなっています。IoT機器は、他の機器と通信をするためにポートを開放している場合が多いためです。

サイバー攻撃の対象となる使われないポートを開放したままにしないことで、ポート経由の攻撃に対するリスクを大幅に軽減できます。

IoTのセキュリティ対策を行う際の課題と対策

IoTシステムのセキュリティ対策を行う際には、さまざまな課題が生じます。ここで、代表的な課題とその対策案について解説します。

  • 専門知識を持った人材の不足
  • セキュリティ対策費用と予算
  • 保守・運用体制の構築

セキュリティの専門知識を持った人材の不足

日本の企業では、IoTに関するセキュリティの専門知識など、IT系の知識を持った人材がベンダーなどに偏っている傾向があり、メーカーには適切な人材がいないことがあります。

このような場合には、短期的にはセキュリティに強い外部人材の活用を行い、中長期的にはセキュリティの知識を持った人材の採用や社内で育成できる仕組みの構築が必要です。

セキュリティ対策費と予算のバランス

IoT機器の中には、安価に提供されるものが多く、安価に構築できると誤認される場合があります。

適切なセキュリティ対策にはある程度の費用が必要ですが、必要な予算を確保するのに苦労をする場合があります。

対策をしないことで発生するリスクの対応費用と、事前のセキュリティ対策コストの関係を決裁者に理解・判断してもらうことが必要です。

長期間の使用を想定した保守・運用体制

生産設備の中には、数十年単位で使用し続けられるものがあります。時間が経過するにつれて生じる脆弱性への対策を行う体制を維持し続けることは、簡単ではありません。

脆弱性が見つかった場合の対応など、IoTシステムのセキュリティに関する対応方針を定めておくことで、長期間の運用でリスクが顕在化した場合にも速やかな対処が可能です。

まとめ

IoTシステムのセキュリティを適切に構築せずにサイバー攻撃を受けてしまうと、自社だけでなくユーザーや取引先の企業にまで大きな影響を与えてしまいます。

社会的な信用の低下や取引の停止など、企業の存続が危ぶまれるような状況に陥る可能性もあるでしょう。

IoTシステムのセキュリティは、単独の部門だけでは構築できません。全社的に取り組むために、経営者がリスクを認識し、明確に方針を示すことが重要です。

株式会社ASTINA(アスティナ)は、ハード/ソフトウェアの設計・開発および受託開発企業です。
カバー範囲の広さと圧倒的設計スピードでお客様の「作りたい」に応えます。

製品開発で困ったことがあればまずはご相談ください