第484号コラム:小山 覚 理事
(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「IoTセキュリティ対策、その4」

IoTのセキュリティ対策について今回で4度目のコラムになるが、お付き合い頂ければ幸いである。(過去のコラムは第350号・第413号・第440号をご参照ください)昨年10月に監視カメラやDVDレコーダに感染したMIRAIと呼ばれるマルウェアが大規模なサイバー攻撃を発生させた。私にコラム第440号を書かせたこの攻撃は、IoT機器の脆弱なパスワード設定を悪用したもので、初期設定パスワードのまま使い続けるリスクや、簡易なパスワード設定のリスクを世界に知らしめた。

あれから1年、IoTのセキュリティ対策について国内外で活発な議論が行われ、具体的な取り組みが進められている。その一例だが、私が構成員として参画した「総務省 サイバーセキュリティタスクフォース」では、2017年10月3日に「IoTセキュリティ総合対策」を公表している。これは私自身が「IoTのセキュリティ対策」に取り組んできた節目となったので、進捗報告も兼ねてコラムを書かせていただく。

●IoTセキュリティ総合対策を読まれる人に
この「IoTセキュリティ総合対策」では、製品開発から人材育成まで様々な分野の取り組みが紹介されている。紙面の関係で個別の内容の解説はできないため、ご興味のある方は公表文をご覧いただきたい。
http://www.soumu.go.jp/main_content/000510701.pdf

さて、この資料はIoTセキュリティの「総合対策」と題しているとおり、IoTセキュリティが取り組むべき分野が広範囲に及ぶことを教えている。まるでIT分野全体のセキュリティ対策のようにも読める。IoTは監視カメラやDVDレコーダだけの問題ではない、IoTを抽象度を上げて捉えると、「IoT=IT+OT」となるそうだ。これは知人の言葉であるが、IoTはIT(Information Technology)とOT(Operational Technology)が交わる領域と考えると本質的な理解が早いそうだ。

Windows95が登場する前からサイバー攻撃に曝されてきた「IT」と、閉域ネットワークで切り離すことで安全を確保してきた「OT」が、融合して新しい社会を作ろうとしている。 政府が提唱するSociety5.0実現のためには、このIoTやAIが不可欠な存在であることはいうまでもない。

しかし「IT」と「OT」は互いの常識だけでは通用しない「IoT」のセキュリティ対策に、頭を痛めているのが実態ではないだろうか?

●Windowsに守られてきたセキュリティ対策の終焉
ITのセキュリティは良くも悪くもWindowsのセキュリティレベルに影響されてきた。過去にはWindowsの脆弱性がマルウェアの爆発的な感染被害を引き起すことが何度もあった。しかし最近は脆弱性を直接悪用する攻撃より、利用者に添付ファイルやURLをクリックさせる標的型攻撃が主流となっている。WindowsなどOSの脆弱性を狙うより技術的にも簡単で、攻撃側のコストが安く済む方法が多用されているのだ。攻撃者に甘く見られているようで腹立たしい。

最新の攻撃手法に対しても、ITのセキュリティ対策はWindowsなどのOSやアプリケーションのアップデートによる脆弱性対策や、マルウェアを検知し駆除するウィルス対策、さらにマルウェアの侵入を事後で発見する様々な分析手法が開発されている。防御側にとってはコストはかかるが、一定のセキュリティ対策投資と地道な運用で、攻撃者との「イタチごっこ状態」を実現することができる。

しかし、IoT分野ではOSも軽量Linuxなどが用いられ、セキュリティパッチが安定的に提供されることも、IoT機器にインストール可能なウィルス対策ソフトが市販されているわけでもない。お金を出してもピリッとした対策を行ってくれるセキュリティベンダも見当たらないのが実態である。自らで守らねば、そもそも攻撃者との「イタチごっこ状態」など望むべくもない、とは言いすぎだろうか。

Windows95が登場して20年以上経過し、攻撃技術は進化し続けた。しかし、いま守るべき対象であるIoTは、20年以上前のWindows95状態に戻ってしまったような感がある。そんな危機感を抱いている人は多いと思う。とはいえ有効な対策も無いなか、危険だ危険だと叫ぶのも如何なものか、そんな忸怩たる気持ちの方もいらっしゃるだろう。

●IoTのセキュリティ対策、3つ
私が知るIoT関連のインシデントの多くは、高度な攻撃よりむしろ、基本的な対策を怠っているIoT機器の自業自得的な被害である。しかし自業自得とはいえ、IoTはIT領域からOT領域に近づにつれ、物理的な事故や人身への影響、またはプライバシーの著しい侵害につながる恐れが出てくる。自身の被害ではなく周囲の関係者への影響を考えたセキュリティ対策が必要である。 IoTセキュリティに特効薬はないが、効果のある取り組みを3つ紹介してコラムを締めくくりたい。

まず、IoT機器選定時の注意点について
監視カメラやホームルータなどを選択する際には、基本的なセキュリティ対策が意識せずともできる機器かどうかを確認する必要がある。 例えば、脆弱なパスワードを使えなくする仕組みや、簡便なファームウェアの更新ができる機器がおすすめである。逆に油断すると勝手にWiFiにつながるような機器は避けるべきである。個人ユーザが利用することを考えると、100%のセキュリティレベルを求めるのではなく、100%の人がセキュリティ対策を施せる仕組みで差別化を行うべきだ。この点は製品を評価する基準が必要ではなかろうか。

2点目は設置工事の注意点とは
インターネットの回線接続を業者に任せる場合も、その工事手順は確認すべきである。セキュリティパッチが当たっていないIoT機器を直接ネットに接続すると、無差別にネット全体をスキャンしている攻撃者(自動化された攻撃ロボット)に発見され、瞬時に乗っ取られる可能性がある。まず機器の設定を行う場合も、インターネットからの直接通信が届かないLAN環境や、ネットワーク機器の配下(下部)で行う必要がある。

3点目はファームウェアアップデートの体制確保について
Windowsは毎月自動でファームウェアの更新を行ってくれた。毎月のアップデートを煩わしく思っている人も多いだろう。しかし、あの仕組みがIoTには無いのである。スマホのゲームでもアプリの更新を促すのが当たり前の世の中であるが、IoT機器の多くはファームウェアの更新版が出ていることを所有者に知らせる方法がないものが多い。モニタ画面すらないモノも多い。 そしてIoTは一度使い始まると、パソコンやスマホより長期間ネットに繋ぎっぱなしになる可能性が高い。ファームウェアアップデートをどうやって行うのか、最悪の場合を想定した体制の検討が必要である。

最後に、IoTは今後も我々の生活を便利に豊かにしてくれることだろう。またSociety5.0など日本の国際競争力強化の面から、積極的に取り組むべき分野であることは間違いない。IoTのセキュリティ対策を進める上では、まだまだ取り組むべき課題は多い。書き始めるとキリがないので、今回のコラムではこの辺で筆を置きたい。

最後までお付き合いありがとうございました。

【著作権は、小山氏に属します】