第４８４号コラム「ＩｏＴセキュリティ対策、その４」

第４８４号コラム：小山 覚　理事
（ＮＴＴコミュニケーションズ株式会社　情報セキュリティ部　部長）
題：「ＩｏＴセキュリティ対策、その４」

ＩｏＴのセキュリティ対策について今回で４度目のコラムになるが、お付き合い頂ければ幸いである。（過去のコラムは第３５０号・第４１３号・第４４０号をご参照ください）昨年１０月に監視カメラやＤＶＤレコーダに感染したMIRAIと呼ばれるマルウェアが大規模なサイバー攻撃を発生させた。私にコラム第４４０号を書かせたこの攻撃は、ＩｏＴ機器の脆弱なパスワード設定を悪用したもので、初期設定パスワードのまま使い続けるリスクや、簡易なパスワード設定のリスクを世界に知らしめた。

あれから１年、ＩｏＴのセキュリティ対策について国内外で活発な議論が行われ、具体的な取り組みが進められている。その一例だが、私が構成員として参画した「総務省 サイバーセキュリティタスクフォース」では、２０１７年１０月３日に「ＩｏＴセキュリティ総合対策」を公表している。これは私自身が「ＩｏＴのセキュリティ対策」に取り組んできた節目となったので、進捗報告も兼ねてコラムを書かせていただく。

●ＩｏＴセキュリティ総合対策を読まれる人に
この「ＩｏＴセキュリティ総合対策」では、製品開発から人材育成まで様々な分野の取り組みが紹介されている。紙面の関係で個別の内容の解説はできないため、ご興味のある方は公表文をご覧いただきたい。
http://www.soumu.go.jp/main_content/000510701.pdf

さて、この資料はＩｏＴセキュリティの「総合対策」と題しているとおり、ＩｏＴセキュリティが取り組むべき分野が広範囲に及ぶことを教えている。まるでIT分野全体のセキュリティ対策のようにも読める。ＩｏＴは監視カメラやＤＶＤレコーダだけの問題ではない、ＩｏＴを抽象度を上げて捉えると、「ＩｏＴ＝ＩＴ＋ＯＴ」となるそうだ。これは知人の言葉であるが、ＩｏＴはＩＴ（Information Technology）とＯＴ（Operational Technology）が交わる領域と考えると本質的な理解が早いそうだ。

Windows95が登場する前からサイバー攻撃に曝されてきた「ＩＴ」と、閉域ネットワークで切り離すことで安全を確保してきた「ＯＴ」が、融合して新しい社会を作ろうとしている。 政府が提唱するSociety5.0実現のためには、このＩｏＴやＡＩが不可欠な存在であることはいうまでもない。

しかし「ＩＴ」と「ＯＴ」は互いの常識だけでは通用しない「ＩｏＴ」のセキュリティ対策に、頭を痛めているのが実態ではないだろうか？

●Windowsに守られてきたセキュリティ対策の終焉
ITのセキュリティは良くも悪くもWindowsのセキュリティレベルに影響されてきた。過去にはWindowsの脆弱性がマルウェアの爆発的な感染被害を引き起すことが何度もあった。しかし最近は脆弱性を直接悪用する攻撃より、利用者に添付ファイルやＵＲＬをクリックさせる標的型攻撃が主流となっている。WindowsなどＯＳの脆弱性を狙うより技術的にも簡単で、攻撃側のコストが安く済む方法が多用されているのだ。攻撃者に甘く見られているようで腹立たしい。

最新の攻撃手法に対しても、ＩＴのセキュリティ対策はWindowsなどのＯＳやアプリケーションのアップデートによる脆弱性対策や、マルウェアを検知し駆除するウィルス対策、さらにマルウェアの侵入を事後で発見する様々な分析手法が開発されている。防御側にとってはコストはかかるが、一定のセキュリティ対策投資と地道な運用で、攻撃者との「イタチごっこ状態」を実現することができる。

しかし、ＩｏＴ分野ではＯＳも軽量Linuxなどが用いられ、セキュリティパッチが安定的に提供されることも、ＩｏＴ機器にインストール可能なウィルス対策ソフトが市販されているわけでもない。お金を出してもピリッとした対策を行ってくれるセキュリティベンダも見当たらないのが実態である。自らで守らねば、そもそも攻撃者との「イタチごっこ状態」など望むべくもない、とは言いすぎだろうか。

Windows95が登場して２０年以上経過し、攻撃技術は進化し続けた。しかし、いま守るべき対象であるＩｏＴは、２０年以上前のWindows95状態に戻ってしまったような感がある。そんな危機感を抱いている人は多いと思う。とはいえ有効な対策も無いなか、危険だ危険だと叫ぶのも如何なものか、そんな忸怩たる気持ちの方もいらっしゃるだろう。

●ＩｏＴのセキュリティ対策、３つ
私が知るＩｏＴ関連のインシデントの多くは、高度な攻撃よりむしろ、基本的な対策を怠っているＩｏＴ機器の自業自得的な被害である。しかし自業自得とはいえ、ＩｏＴはＩＴ領域からＯＴ領域に近づくにつれ、物理的な事故や人身への影響、またはプライバシーの著しい侵害につながる恐れが出てくる。自身の被害ではなく周囲の関係者への影響を考えたセキュリティ対策が必要である。 ＩｏＴセキュリティに特効薬はないが、効果のある取り組みを３つ紹介してコラムを締めくくりたい。

まず、ＩｏＴ機器選定時の注意点について
監視カメラやホームルータなどを選択する際には、基本的なセキュリティ対策が意識せずともできる機器かどうかを確認する必要がある。 例えば、脆弱なパスワードを使えなくする仕組みや、簡便なファームウェアの更新ができる機器がおすすめである。逆に油断すると勝手にWiFiにつながるような機器は避けるべきである。個人ユーザが利用することを考えると、１００％のセキュリティレベルを求めるのではなく、１００％の人がセキュリティ対策を施せる仕組みで差別化を行うべきだ。この点は製品を評価する基準が必要ではなかろうか。

２点目は設置工事の注意点とは
インターネットの回線接続を業者に任せる場合も、その工事手順は確認すべきである。セキュリティパッチが当たっていないＩｏＴ機器を直接ネットに接続すると、無差別にネット全体をスキャンしている攻撃者（自動化された攻撃ロボット）に発見され、瞬時に乗っ取られる可能性がある。まず機器の設定を行う場合も、インターネットからの直接通信が届かないLAN環境や、ネットワーク機器の配下（下部）で行う必要がある。

３点目はファームウェアアップデートの体制確保について
Windowsは毎月自動でファームウェアの更新を行ってくれた。毎月のアップデートを煩わしく思っている人も多いだろう。しかし、あの仕組みがＩｏＴには無いのである。スマホのゲームでもアプリの更新を促すのが当たり前の世の中であるが、ＩｏＴ機器の多くはファームウェアの更新版が出ていることを所有者に知らせる方法がないものが多い。モニタ画面すらないモノも多い。 そしてＩｏＴは一度使い始まると、パソコンやスマホより長期間ネットに繋ぎっぱなしになる可能性が高い。ファームウェアアップデートをどうやって行うのか、最悪の場合を想定した体制の検討が必要である。

最後に、ＩｏＴは今後も我々の生活を便利に豊かにしてくれることだろう。またSociety5.0など日本の国際競争力強化の面から、積極的に取り組むべき分野であることは間違いない。ＩｏＴのセキュリティ対策を進める上では、まだまだ取り組むべき課題は多い。書き始めるとキリがないので、今回のコラムではこの辺で筆を置きたい。

最後までお付き合いありがとうございました。

【著作権は、小山氏に属します】