家庭やオフィス、工場など、あらゆる分野で導入が進むIoT。大きな利便性がある一方で、昨今IoT機器をねらったサイバー攻撃の被害が増えており、セキュリティ対策が急がれています。ここでは、起こりうるリスクを明らかにした上で、セキュリティ対策の取り組み方や具体的な方法について解説していきます。

IoTとセキュリティ対策

IoT（Internet of Things）は「モノのインターネット」の略称で、さまざまなモノをインターネットに接続してデータをやり取りする仕組みを指します。家電、自動車、ロボット、センサー、スマートスピーカーなど、その対象は多種多様です。

モノをインターネットにつなげると、従来にない機能や利便性が手に入ると同時に、外部からセキュリティを侵害されるリスクも伴って出てきます。インターネットを通じて外部との接点ができるため、セキュリティに穴があれば外部からの攻撃のターゲットにされてしまうのです。IoTを導入する際には、セキュリティの脅威があることを認識し、適切にセキュリティ対策を行うことが不可欠と言えるでしょう。

国もIoTのセキュリティ対策を重要視しており、2016年には、IoT推進コンソーシアム、総務省、経済産業省が共同で「IoTセキュリティガイドライン ver1.0」を策定しました。IoTのセキュリティ確保のために必要な取り組みを明示し推奨することで、安心してIoTを利活用できる環境を整え、産業界において積極的な開発を促すのがねらいです。

参考：「IoTセキュリティガイドライン ver1.0 概要」（IoT推進コンソーシアム・総務省・経済産業省）

※上記「IoTセキュリティガイドライン ver1.0 概要」については『安全なIoTに向けて、まず知っておくべき「IoTセキュリティガイドライン」』の記事でも解説しております。

IoTのセキュリティ対策に不備がある場合のリスクとは？

IoTのセキュリティ対策が適切に行われていない状態でサイバー攻撃を受けると、どのようなリスクが想定されるでしょうか。以下で確認しておきましょう。

情報漏洩のリスク

センサーやカメラ、スマートスピーカー、管理サーバーなど、IoTの仕組みには個人情報や機密情報が記録されるものがあります。このため、悪意を持って攻撃されると、個人や企業にとって重要な情報が外部に流出してしまうリスクがあります。不正アクセスを許してしまうと、情報漏洩の被害にとどまらず、企業の信用失墜から経営を脅かす事態も招きかねません。

物理的な事故を引き起こすリスク

サイバー攻撃を受けると、IoT機器の制御が適切に行えなくなり、物理的な事故を引き起こしてしまう可能性があります。たとえば、自動車が制御不能に陥ると、人命にかかわる事故を起こしてしまうかもしれません。工場内のIoT設備が被害にあった場合でも同様です。

知らないうちに加害者になるリスク

外部からの攻撃でIoT機器が乗っ取られ、知らないうちに他のIoT機器やサイトへの攻撃の中継ポイント（踏み台）として利用されてしまうケースも少なくありません。悪意ある第三者による「踏み台攻撃」の被害ではありますが、同時にサイバー攻撃に加担した加害者にもなってしまうリスクです。被害に対する責任を問われることもあります。

IoTのセキュリティ対策はどのように取り組めばよい？

深刻なリスクをはらむサイバー攻撃の脅威から身を守るためには、どのようにセキュリティ対策を進めていけばよいでしょうか。一般的な取り組み方について、3つのステップに沿ってご紹介します。

IoT機器の棚卸し

まず最初に、管理すべきIoT機器の棚卸しを行います。管理が必要なものすべてを把握することで、その後のリスクの洗い出しや対策につなげやすくなります。ここで大切なのは、把握もれがないようにすること。会社であれば、部門単位で終わらせずに全社的に取り組む必要があります。

通信経路の把握

管理すべきIoT機器の把握ができたら、それぞれの機器がどのような通信経路で通信しているかを調べます。すべての通信経路を明確にして、ネットワークの全体像を俯瞰して可視化できる状態にしておくことがポイントです。この取り組みにおいて、不要なIoT機器やインターネット接続が放置された状況が見つかることもあり、対処してサイバー攻撃のリスクを抑えることもできます。

想定されるリスクの洗い出しと対策

IoT機器ごとに通信経路や通信内容などを含めて分析し、リスク要因を洗い出します。また、リスクが発生した場合に影響が及ぶ範囲についても把握しておきます。これらを踏まえて、何をどの範囲でどの優先順位で対策すべきかを決め、それぞれの機器についてセキュリティ対策を実行していきます。

セキュリティ対策の具体例

IoT機器は多種多様で、どんな対策が必要であるかもそれぞれに異なりますが、ここでは機器の違いを超えて共通する、セキュリティ対策の具体例を4つご紹介します。

初期パスワードの変更

初期パスワードの変更は、IoT機器の導入時に行うべき基本のセキュリティ対策です。簡単にできるはずの対策でありながら、行われていない機器が非常に多いのが現実で、サイバー攻撃を成功させてしまう原因となっています。たとえば近年話題になったマルウェア「Mirai」は、主に家庭用のIoT機器を狙い、その多くが初期パスワードのまま使われていたことから爆発的に感染が広がりました。

ファームウェアの更新

セキュリティ対策がとられていても、時間の経過とともに機器に新たな脆弱性がみつかることがあります。攻撃側の技術も進歩しており、いたちごっこにはなりますが、常に最新のファームウェアに更新しておくことが重要です。ファームウェアにマルウェアが仕込まれているケースもあるので、ダウンロードは正規の公式サイトなどから行うようにしましょう。

通信ポートの管理

IoT機器に対する攻撃の手段として、外部に解放された通信ポートをねらってくる割合が増えています。IoT機器は、他の機器と通信を行うためにポートを解放している場合が多いので、そこを攻撃のターゲットにされてしまうのです。使わないポートを解放したままにしないよう管理することで、ポート経由の攻撃リスクを大幅に抑えることができます。

購入前にはメーカーのサポート内容を確認

新規に機器を導入する際は、ファームウェアの更新やサポートが適切に受けられる製品であるかどうかを確認します。利用者がいくら対策をしていても、機器側で脆弱性が放置されているとセキュリティを確保することはできません。製品選択のポイントと位置づけましょう。

まとめ

IoTの急速な普及により、セキュリティ対策の重要性が高まっています。企業・団体に限らず家庭においても、セキュリティ対策は自分事として取り組む必要があります。IoT機器を安心して活用していくためには、まずリスクを認識し、抜かりなく対策をとっていきましょう。