IoTの急速な普及により、セキュリティ対策の重要性が高まっています。IoT機器やシステム、サービスの関係者のみならず、一般利用者にいたるまで、いまやセキュリティ対策に無関心でいることはできません。ここでは、あらゆるIoTセキュリティ対策の基本となる「IoTセキュリティガイドライン」について解説します。

そもそもIoTとは

IoT（アイオーティー）は”Internet of Things”の略。「モノのインターネット」とも呼ばれ、さまざまなモノをインターネットに接続し、データをやり取りする仕組みを指します。離れたところからインターネット経由で機器を制御したり、収集したデータの保存や分析をしたりすることができます。

身近な例では、スマートフォンを使って外出先からエアコンや照明器具を操作する仕組みもIoTです。IoTの対象は、家電から各種センサー、工場の生産機械、交通、ライフラインの制御機器など、大変幅広いのが特徴で、さまざまな分野でのソリューションとなっています。

しかし近年、セキュリティ対策の不十分なIoT機器がサイバー攻撃の対象になるリスクが明らかになってきました。 IoT機器が直接攻撃されるケースにとどまらず、これを踏み台とした大規模な攻撃事例も発生しています。

「IoTセキュリティガイドライン」の目的

こうした状況を受け、2016年7月、IoT推進コンソーシアム、総務省、経済産業省が共同で策定・公表したのが「IoTセキュリティガイドライン ver1.0」です。IoT機器を狙うサイバー攻撃を念頭に、IoTのセキュリティに関するガイドラインが必要であるとの認識から、策定に至りました。

このガイドラインでは、一般利用者への言及もありますが、基本的にはIoT機器、システム、サービスの関係者に向けての内容が中心となっています。機器メーカー、システム提供者、サービス提供者に加えて、経営者や利用者を含みます。

ガイドラインは、主にこうした関係者に向けて、IoTのセキュリティ確保のためにどのような取組みが必要であるかを明確にすることを目的にしています。さらにその結果として、産業界での積極的な開発や、安心してIoTを利活用できる環境の創出につながることを期待しています。

サイバー攻撃の被害発生時などでの法的責任を定めたものではありません。関係者が取り組むべきセキュリティ対策を明らかにすることが目的で、さらには一律に具体的なセキュリティ対策の実施を求めるものでもないので、それぞれが守るべきものやリスクの⼤きさ、役割・⽴場などに応じて検討することが求められています。

「IoTセキュリティガイドライン」の概略

ガイドラインでは、IoT関連のセキュリティ対策について説明するにあたり、「方針、分析、設計、構築・接続、運用・保守」の5つの段階に分け、5つの指針を定めています。さらに、それぞれの指針については、具体的な対策を要点としてまとめています。

【方針】指針1：IoTの性質を考慮した基本方針を定める

IoTのリスクは企業の存続に関わる可能性があり、リスク対策にはコストを要するため、経営者が先頭に立って対策を進めることを推奨しています。 内部不正や人為的ミスについても、想定した対策の必要性を説いています。

【分析】指針2：IoTのリスクを認識する

IoT機器やシステムのさまざまなリスクの可能性を取り上げて注意喚起しています。どのようなリスクがあるかを認識できていれば、対策につなげることができるからです。

まず、IoT機器が持つ本来機能など、守るべき機能や情報を特定。その上で、つながることによる問題の発生でどこまで影響が波及するのかを考えなければなりません。クローズドなネットワーク向けのものであっても、つながる前提でリスクを認識しておく必要があります。紛失や盗難による機器の不正操作や廃棄した機器からの情報漏えいの可能性も考えておくべきです。

【設計】指針3：守るべきものを守る設計を考える

設計についての指針であることから、技術的な内容になります。ここでは、機器が組み合わさることで想定外のリスクが生じることに留意して設計する必要があると述べています。

ポイントとなる内容としては、まず、IoT機器やシステムの異常を確実に検知し、必要に応じてネットワークからその箇所を切り離し、かつ早期に復旧する設計が必要であること。信頼性の低い機器が接続された場合にも安全が確保できる設計であること。さらには、設計が安全安心の要件を満たすものであるか「評価」が必要であること、などがあります。

【構築・接続】指針4：ネットワーク上での対策を考える

IoT機器やシステムのセキュリティ対策に加えて、それらをつなぐネットワークのセキュリティ対策についての項目です。

まず、IoTシステムやサービスの機能や用途、IoT機器の機能や性能などを踏まえて、ネットワーク接続の方法を検討する必要があります。また、利用開始時には、セキュリティに留意した初期設定を行うことが重要で、利用者には注意喚起を行います。なりすましによる不正な動きを防止するため、利用者を識別する認証機能や暗号化などの導入も必要です。

【運用・保守】指針5：安全安心な状態を維持し、情報発信・共有を行う

運用・保守については、システムや機器を提供するメーカーやサービス会社への注意点となります。出荷後やリリース後に脆弱性が判明することもあるため、アップデートを必要なタイミングで適切に行うことが必要です。セキュリティに関する重要事項は、あらかじめ利用者に説明するだけでなく、出荷やリリース後にも情報発信し、共有していくことが大切です。

セキュリティ対策の具体例

以上のような指針や要点に沿って行ったセキュリティ対策の具体例を2つ、「IoTセキュリティガイドライン ver1.0」より引用してご紹介します。

クローズドなネットワーク向けでも IoT機器・システムとしてのリスクを想定

IoTにつながる機能がある機器やシステムは、家庭や企業のLANで使用する想定であってもIoT機器・システムとして利用される前提で設計、運用する。

具体例を以下に示す。

• 出荷時の初期パスワードを同一にしない。また、推定されにくいものとする。
• ユーザ側でのパスワード変更を必須とし、パスワードの自動生成またはユーザが入力したパスワードの強度をチェックする。
• 一定回数以上の失敗に併せて機能制限をする。
• 必須でない場合はサーバ機能を持たせない。持つ場合は使用するポートを最小限とし、その他は使用不可とする。
• 内部の機能はすべて管理者権限とせず、適切なユーザ権限を割り当てる。
• 隔離されたネットワーク上の機器やシステムにウイルス対策ソフトウェアを入れたり、持ち込むパソコンやUSBのウイルスチェックを行う。

パスワードの適切な設定・管理

管理者権限、利用者権限のパスワード設定及び管理を適切に行うことで、なりすましによる悪意のある第三者からの不正アクセスを防止する。

具体例を以下に示す。

• パスワードを初期設定のままとせず、適切に変更（変更後の文字数、文字種別等にも留意）し、第三者に知られないよう厳重に管理する。
• パスワードを権限のないユーザと共有しない。
• パスワードを他システム・サービスと使いまわししない。

まとめ

ガイドラインでは、一般利用者のためのルールにも、1章を当てて解説しています。IoTの導入を考える際には、どのような立場であっても、まず「IoTセキュリティガイドライン」に目を通しておくとよいでしょう。

〈参考〉
「IoTセキュリティガイドライン ver1.0」
「IoTセキュリティガイドライン ver1.0 概要」（IoT推進コンソーシアム・総務省・経済産業省）