IoT

経営者が考えるべきIoTのセキュリティリスクと5つの対策

“2020年、77億5,815万人、530億個“

上記の数字は2020年における世界人口の予測値と、大手情報プロバイダーのIHSテクノロジーによるIoT製品市場の予測値です。
今から4年後には人口の約6.8倍のIoT製品が流通している計算になります。

「モノのインターネット」という呼称で最近何かと話題になっているIoTですが、普段の生活やビジネスの中でIoTを肌で感じることはなくとも、着々と世界に根付いているテクノロジーの一つです。
そして、今後多くの中小企業やメーカー企業がIoT製品市場に参入することになるでしょう。

そこで課題として浮かび上がるのがIoTのセキュリティ対策です。
どんな時代でもテクノロジーが使用されているところにはセキュリティリスクが存在し、IoTに関しても例外ではありません。
むしろ、IoTだからこそ増加するセキュリティリスクもあるのです。

では、経営者としてこの深刻な課題にどう向き合えばいいのか?
今回はIoTのセキュリティリスクを認識してもらうと共に、具体的な対策について紹介していきます。

IoTのセキュリティリスクを認識する

悪質なソフトウェアを用いたIoT製品の障害や故障

2015年10月に開催された「Softbank Award 2015」において孫正義CEOは、「30年後には1人あたり1,000個程度のIoTデバイスを持つことになる」とコメントしています。
これは一般ユーザーのIoTへの関心が高まるというよりは、それほどIoT製品が生活の一部として定着すると捉えるのが正しいでしょう。

現在インターネットに接続されているデバイスと言えばPCやスマートフォン、タブレットなどが一般的ですが、今後は時計(Apple Watchなど既に製品化)、メガネ、靴、シャツなどあらゆるものがインターネットに接続されます。

30年後にIoT製品を1人1,000個所持しているかは未知数ですが、近い将来十数個程度のIoT製品を持つことが当たり前になるのは確かです。

つまり攻撃者からすれば、そこら中に攻撃対象が溢れているということになります。
2012年に米国の研究機関では、悪質なソフトウェアから致死量に至る電流をピースメーカーに流すという実験が行われました。

IoT製品が普及すればするほど、攻撃者は一般ユーザーにとってより身近なものとなり、常にセキュリティリスクにさらされていることになります。

IoT製品自体に組み込まれた不正プログラムによる攻撃

IoTのセキュリティリスクは外部からの攻撃だけでなく、製品内部に攻撃要因が潜んでいる可能性もあります。
これは近年ロシアにおいての事例ですが、中国製の衣類用アイロンの中に不正プログラムが組み込まれたチップが発見されました。

このチップは半径200m圏内にある、認証設定されていない無線LANに不正にアクセスしマルウェアをまき散らすというものです。
IoT製品が普及すれば、製品自体に不正プログラムを組み込む事例が急増すると考えられます。

企業が意図していなくとも内部犯行により組み込まれる可能性もあるので、セキュリティリスクとしてしっかりと認識しておく必要がありますね。

プログラムの改ざんによる不正操作や情報搾取

インターネットに接続されたPCやスマートフォンが、外部の攻撃者によって不正に操作され情報を搾取されるというセキュリティ事件は後を絶ちません。

では、IoT製品が普及した世界ではどうでしょう?
多くのモノがインターネットに接続されていることから、不正操作や情報搾取の対象は何倍にも増加します。
さらに、PCやスマートフォンであれば情報搾取に留まりますが、IoT製品は身体的に害を及ぼす可能性もあるのです。

例えば2015年に行われた「Black Hat USA 2015(世界最大のセキュリティカンファレンス)」では、PCからの不正操作によって自動車のエンジンやハンドルを制御するといった実験が紹介されています。
しかも、不正操作の対象となった自動車に組み込まれたICチップは、そもそも運転を制御するためのものではありませんでした。

この実験結果が示すように、IoT製品が普及すると情報被害だけでなく身体的な実害が発生するケースも考えられるのです。

経営者が取るべきつ6のIoTセキュリティ対策

1.経営者自身がIoTセキュリティにコミットする

IoTに対するセキュリティ対策を実現するためには、やはり企業のトップである経営者自身がセキュリティにコミットし、全体を牽引しいてく必要があります。
もちろん専門的なセキュリティ対策については情報システムや専門家に任せるとしても、対策方針などは経営者自身が舵を取る必要があるのです。

そのためには経営財産業省が発行している「サイバーセキュリティ対策ガイドライン」などを参考に、まずはサイバー攻撃やセキュリティに対する基礎知識を付けることが大切です。

2.内部不正・過失への対策を取る

年間を通じて起きているセキュリティ事件の約80%が、実は内部不正や過失によるものだということをご存知でしょうか?
2014年にベネッセコーポレーションで発覚した最大3,504万人の情報漏洩事件はまだ記憶に新しいと思いますが、これは派遣社員として勤務していたエンジニアによる犯行でした。
また、2015年に航空局長が電車で寝過してしまい、個人情報の入った鞄が置き引きに遭うといった事例も話題になりましたね。

こういった事例は氷山の一角に過ぎず、内部犯行や過失による情報漏洩は日常茶飯事的に起きているのです。

内部犯行や過失によるセキュリティ対策を高めるためには、以下の5つに注意しましょう。

  • 対策強化で犯行自体を難しくする
  • 管理や監視を強化することで、捕まるリスクを高める
  • 標的となるデータは隠す、あるいは排除することで犯行の見返りを減らす
  • 犯行に及ぶ気持ちをなくさせることで、犯行自体を抑止する
  • 犯行を正当化させる理由を排除する

国内では少ないですが、海外では企業に不満を持つ社員や退職者による利害目的のない犯行が多数発生しているので、こういった面でのカバーも重要です。

3.“つながり”のリスクを想定する

IoT製品が普及するとモノとインターネットが接続されるだけでなく、モノとモノのネットワークも次第に形成されていきます。
つまり複雑な“つながり”が生まれるのですが、この“つながり”を標的にしたセキュリティ事件が増加するでしょう。

例えば、自社IoT製品のセキュリティ対策は万全だとしても、他社製品のセキュリティまでタッチすることはできません。
つまり、高いフェンスで囲われたネットワーク内にも低いフェンスを見つけてヒョイッと飛び越えれば簡単に侵入できてしまうのです。

従ってIoT製品を設計する際は、外部からの侵入だけでなく内部ネットワークからの侵入も想定しなくてはならないのです。

4.物理的なリスクを意識する

現時点で既にリリースされているIoT製品はウェアラブルデバイスといった、持ち歩いたり身に付けることで使用するものがほとんどです。
今後もこういった製品から普及していくことが考えれるので、紛失や盗難、あるいは破棄時の物理的なリスクを意識する必要があります。

例えば既に製品化されているウェアラブルデバイス「Apple Watch」ですが、インターネットに接続されている製品だけあり紛失時や盗難時は不正利用に遭う可能性があります。
また、破棄したIoT製品から情報漏えいが発生したり、不正ソフトウェアが組み込まれ中古販売されるといったリスクもあるでしょう。

こういったリスクに対応するため、IoT製品設計時は紛失時や盗難時、破棄後の不正再利用を避けるための対策を取っておく必要があります。
また、破棄する際にはデータをしっかりと消去しておくようユーザーへ喚起することも大切です。

5.守るべき情報を特定する

IoT製品とは常に大量のデータを取得し、それをクラウドサーバなどで処理した上でユーザーに特定のフィードバックを行うのが基本となります。
つまり、どんなIoT製品にも何かしらのデータが発生するということです。

そこで大切になるのが守るべき情報を予め特定しておくこと。

例えばスマートテレビなら登録されたユーザーの個人情報はもちろんのこと、番組やインターネットの閲覧履歴なども立派な情報となります。
スマート冷蔵庫ならタッチパネルから購入した食材の履歴などから、家族構成を割り出すこもとできますね。

このように、IoT製品に紐づいた情報から読み取れることは実に多く「どんな情報を守ればいいのか?」「守るべき情報の優先順位は?」を予め特定し、IoT製品を設計するひつようがあるのです。

まとめ

企業を対象としたサイバー攻撃は年々巧妙化しており、多くの企業が情報漏洩などの損失を被っています。
そしてIoT製品が普及するにつれこの傾向はさらに加速していくことでしょう。

“全てのモノとインターネットが繋がった世界”は確かに利便性が高く非常に魅力的な構想でもありますが、反面セキュリティに対する危険性が潜んでいることを忘れてはいけません。
攻撃者は常にセキュリティホールを探し、攻撃の機を伺っているので。

しかし幸いなことに、サイバー攻撃に対するセキュリティ対策の手立てがまったくないとういわけではありません。
多くの専門家が「100%のセキュリティ対策は存在しない」と言いながらも、セキュリティをしっかりと強化することでそもそも攻撃対象とされないことなどは可能なのです。

Windowsに比べてiOSのセキュリティ事件が少ないのは、Appleによるセキュリティが強固であり攻撃の労力に対し見返りが少ないからです。

このようにIoTに対するセキュリティもしっかりと意識し、対策を取ることでそもそも狙われないIoT製品を作ることができるでしょう。

ODIP Enterprise Solution

ODIP Enterprise Solution
ODIP(オーディップ)は、複雑な大規模バッチ処理を、簡単なGUIで、いとも簡単に開発します。

コスト増や開発遅延は皆無で、大幅な高生産性、見える化、100%品質維持を実現した革命的ソリューションです。

ダウンロード

ODIP Enterprise Solution
IoTとM2Mの違いを優しく解説!3つのポイントでわかるプロジェクトが回る開発体制の作り方