IoTの普及であらゆるモノがネットワークで繋がるようになりました。IoTは先進的な仕組みである反面、様々なリスクがメディアで取り上げられています。その中でもシステムの誤作動や情報漏えいなどを防ぐための「IoTのセキュリティ」は、IoTを活用する全てのビジネスパーソンが理解しておくべきテーマです。
しかし、セキュリティリスクは時代とともに変化していくため「一体何に気を付けなければならないのか?」「どのようなセキュリティ対策が必要なのか?」と具体的な対策に迷うこともあるでしょう。
そこで本稿ではIoT社会に求められるセキュリティ意識と具体的な対策を解説します。
世間にインパクトを与えたセキュリティ事件簿
まずはネットワーク利用のリスクを大局的に捉えるため「これまでにどのようなセキュリティ被害が起きたのか?」McAfeeが公表している事例を時系列で見ていきましょう。
セキュリティ被害(2017年12月~2019年12月)【出典:McAfee公式サイト】
発生日 |
被害概要 |
2017年12月 |
JALがビジネスメール詐欺(BEC=Business E-mail Compromise)により、偽の請求書メールにだまされ、約3億8000万円の被害に |
2018年1月 |
コインチェックが管理する秘密鍵が流出し、580億円相当の仮想通貨「NEM」が盗まれる |
2018年3月~4月 |
ルーターへのサイバー攻撃が相次ぎ、パソコンやスマートフォンでネットが使えなくなる不具合が多発。NTT、ロジテック、バッファローの機種で被害を確認 |
2018年6月 |
「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleを語るフィッシングメール(※1)が出回る |
2018年7月~ |
佐川急便をかたるフィッシングメール(※1)。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用される |
2018年9月~10月 |
Facebookでの機能テスト中のバグにより1,400万人が意図せず投稿を「全員に公開」(6月)、2,900万人分の個人情報が流出 |
2019年1月~3月 |
「宅ふぁいる便」サーバーへ不正アクセス、約480万件の個人情報が流出 |
2019年4月 |
スマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化 |
2019年6月 |
ゆうちょ銀行をかたり、「『ゆうちょ認証アプリ』による本人認証サービス開始」などの件名で、本文に記載したフィッシングURLからのログインを促す内容のフィッシングメールに対して注意喚起 |
2019年7月 |
ヤマト運輸が提供するクロネコメンバーズのWebサービスにて外部からパスワードリスト攻撃による不正ログインが判明 |
2019年7月~10月 |
セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスを確認。経緯とともに同サービスの廃止を発表 |
2019年11月 |
トレンドマイクロの元従業員が顧客情報を盗み出し、第三者に売却したことで米国など海外の最大12万人分の情報が外部に流出 |
(※1)フィッシングメール:インターネット上で行われる詐欺行為。クレジットカードなどの正規サービスになりますまして、ユーザーからログイン情報などを盗み出す行為。
7payのアカウントへの不正アクセスでは、サービス停止まで発展しました。「セキュリティ被害が企業経営に多大な影響を及ぼす」ことを改めて認識した方も多いのではないでしょうか。
また、セキュリティ被害を時系列で把握してみると「何が狙われているのか?」「どこが狙われるのか?」その法則性が見えてきます。私たちがIoTセキュリティを考えなければならない理由となりますので、次章で詳しく解説します。
ネットワークのセキュリティ被害はなぜ起きるのか?
セキュリティ被害の裏には必ず攻撃者がいます。自然発生ではなく、誰かが何らかの目的を持って攻撃を仕掛けています。セキュリティ対策を考える際には、狙われやすいポイントを把握するためにも「攻撃者の意図」を知ることがとても大切です。
なぜ攻撃されるのか?
そもそも、なぜ攻撃するのでしょうか?一般的に攻撃者の目的は「経済的なメリット」にあります。「企業の機密情報を収集して、情報機関に売却する」、「企業システムをハッキングし、解除金を要求する」、「デバイスに侵入して個人情報を抜き取る」など、攻撃を仕掛けることで金銭的なリターンを得ようとします。
何が狙われるのか?何を守らないといけないのか?
皆さんは次の5つの内、資金を投入してセキュリティ対策をすべきなのはどれだと思いますか?
①ビジネスアプリ(Zoom、Slackなど)を利用しているスマートフォン
②従業員が業務で使用しているノートパソコン
③顧客情報を管理しているサーバー
④工場の生産機械を管理しているサーバー
⑤自動運転に内蔵されているセンサー機器
正解は「全て」です。攻撃者にとっては攻撃することで金銭的なメリットを見込めるため、どれが狙われても不思議ではありません。
IoTではネットワークに繋がっているデバイスから企業資産へアクセス可能です。例えば、ビジネスアプリを使用している従業員のスマートフォンを外部から遠隔操作されたら、企業資産へアクセスされてしまいます。
セキュリティ対策のポイントは「攻撃者は企業資産を狙うため、企業資産にアクセスできるデバイスや経路に対策を施すこと」です。従来は特定のポイント(パソコン、サーバーなど)の対策で事足りました。しかし、IoTでは対象となるデバイスや経路が膨大になる分、攻撃の及ぶ範囲がそれだけ広くなります。この点がIoT普及前後で大きく異なる点と言えるでしょう。
IoT普及に伴う2020年以降に考えられる脅威
ここでは、2020年以降に考えられる脅威をご紹介します。
IoTを標的とした攻撃の増加
2020年1月30日、警視庁は「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」という資料を公開しました。当資料では、複数のIoT 機器等の脆弱性を標的としたアクセスが増加していることが示されています。
攻撃者の主な目的は「Mozi.m」または「Mozi.a」という名称のファイルをダウンロードさせた後にその実行を試みるもので、これらのファイルは、IoT 機器に感染するウィルス「Mirai」の亜種とみられています。「Mirai」に感染するとIoT機器を遠隔で操作することが可能になるため、意図しない動作になるばかりでなくデータ漏えいの原因となります。
IoTの普及に伴い、今後このようなIoT機器を標的とした不正アクセスが増えることが予想されます。ここでいう「IoT機器」とはネットワークに接続しているデバイス全般を指し、企業のデータサーバーはもちろんのこと、個人のノートパソコンやスマートフォンも該当します。
IoTの基礎知識から活用事例までを詳しく解説している、こちらの記事も、ぜひご覧ください。
「IoTとは?IoTの最新動向と活用事例をわかりやすく解説」
5Gで使われる技術基盤の脆弱性
次世代通信規格5Gでは、通信負荷を下げるためにローカル端末に近い場所で処理を行う「エッジコンピューティング」など、従来とは異なる通信経路で通信を行うケースがあります。
そのため、情報を集約するエッジデバイスに対して、セキュリティの脆弱性をついた不正アクセスのリスクが指摘されています。エッジコンピューティングは、通信データ量が膨大になる自動運転技術や製造業の機械制御などに使われます。
これらの産業でIoTを活用する場合は、データ通信方法に応じたセキュリティ対策が必要です。
「エッジコンピューティング」の役割や、合わせて知っておきたい「クラウドコンピューティング」との関係性については、こちらの記事に詳しくまとめています。
IoTの鍵になる「クラウドコンピューティング」「エッジコンピューティング」とは?最新動向をご紹介!!
IoTのセキュリティの課題
IoTを標的とした攻撃や技術基盤の脆弱性などを踏まえると、IoTのセキュリティ強化は速やかに行わなければなりません。しかし、IoTのセキュリティ強化には次の課題があります。
IoT機器の管理の難しさ
総務省の統計調査結果によると、2019年度のIoTデバイスの総数は約253.5億個となっています。各分野で利用され始めているIoTデバイスは、種類も豊富になってきています。
さまざまな機器にIoTが組み込まれ始めているため、自社で複数のIoTデバイスを導入することもあり得るでしょう。このような場合は、自社のIoT機器を適切に管理しなければいけません。種類の異なる複数のIoTデバイスで、一貫したセキュリティを確保するのは想像以上に大変です。
後付けのセキュリティ対策が難しい
パソコンのセキュリティ強化は、ソフトウェアを購入してインストールすれば行えます。
しかし、IoTデバイスの場合は、後からセキュリティ機能を追加できないことが多いのが現状です。
コストを抑えるために、IoT機器の製造時にセキュリティ強化をしなかった結果、脆弱な機器となったというトラブルも少なくありません。
保守期間を超えても使用される
IoTデバイスは、高額な設備投資となるため投資費用を回収するためにも長く使用されます。IoTデバイスはハードウェアだけではなく、オペレーティングシステムやアプリケーションのソフトウェアから構成されていますが、ソフトウェアのサポートは保守期間が限定されています。
この保守期間を過ぎてもIoTデバイスは長く使用しなければいけません。そのため、セキュリティ面は危うくなってしまうのです。
既存技術がベースとなる
IoTデバイス開発は、既存IT技術がベースとなり開発されています。迅速に開発できることが魅力的ですが、既存IT技術はマルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードに書き換えられること)の攻撃を受ける弱点を抱えています。
IoT機器もターゲットになることが多いため、注意しなければいけません。
IoT機器に対するセキュリティ意識の不足
IoT機器に対するセキュリティの課題を4つ挙げましたが、これらを警戒して機器を導入する企業は非常に少ないです。IoT機器に対するセキュリティ意識が不足していることも大きな課題となっています。IoT機器はサイバー犯罪者による攻撃を受けるため、開発前にセキュリティに関する勉強をしておくことが大切です。
IoTに求められるセキュリティ意識
IoTではデバイス同士がネットワークで繋がるため、「不正アクセスは常に起こりえる」との危機意識を持つとともに、不正アクセスを防止する仕組みを構築しておくことが重要です。
多重認証
多重認証とは、企業資産に到達するまでに複数の認証を設けることです。例えるなら、目的の場所に行くまでに幾つもの扉が用意されていて、一つずつカギを開けていくようなイメージです。
「特定のIDのみアクセス可能にする」、「機密資料にはパスワードロックをかける」、「データを暗号化する」などが対策の一例で、多重認証によりアクセス制限を設けることでセキュリティを高められます。
データバックアップ
万が一コンピュータウイルスに感染した場合、対象のデバイスはネットワークから切り離す措置をとります。デバイスが感染しても、保存されているファイルまで影響が及ぶことは稀ですが、ファイルが閲覧できなくなったり破損してしまうケースもあるため、データのバックアップは必須です。
特に顧客情報などの大切なデータであれば、オンラインストレージ以外にも外付けハードディスクなど、媒体を変えてバックアップを取り、データ破損に備える対策も必要です。
ファイルの閲覧は要注意
コンピュータウイルスの感染はファイルの閲覧に起因するケースが多く見られます。「メールの添付ファイルを開く」、「ウェブサイトからファイルをダウンロードする」など、本人の意図しないところでウィルスに感染します。
インターネット初期から問題視されているウィルスの感染原因ですが、IoT社会の到来で常時ネットワークに接続することになりますので、引き続き注意が必要です。
スマートフォンはIoTの象徴
SaaSと呼ばれるインターネット経由で利用できるサービスは、基本的にスマートフォンに対応しています。
例えば、Salesforceなどのグループウェア、Stapleなどの経費精算アプリ、Eightなどの名刺管理ソフトなどです。便利なサービスが次々と登場していて、すでに多くの企業が導入しています。
従業員のスマートフォンから気軽にアクセスできることが利点ですが、不正アクセスを受ければ企業情報が一気に流失する恐れがあります。
スマートフォンは不正アクセスの対象になり得るとの認識を持ち、「定期的にセキュリティパッチ(※2)をチェックする」、「ID・パスワードはテキスト形式で管理しない」などで対策しましょう。
(※2)セキュリティパッチ:プログラムに脆弱性やセキュリティホールなどが発見された際に、それらの問題を修正するためのプログラムのこと
具体的なセキュリティ対策
IoTではモノ同士がネットワークで繋がるため、主に下記3点
①エンドポイント(デバイス)
②通信経路
③クラウド
の各所でのセキュリティ対策が必要です。それぞれについて詳しく見ていきましょう。
エンドポイント(デバイス)
エンドポイントとは、ネットワークに接続されたパソコン、スマートフォン、タブレットなどのネットワーク端末の総称です。
2020年は新型コロナウイルスの影響でテレワークを推進する企業が増えています。
テレワークでは、エンドポイント端末の持ち出しを行いますので、脆弱性対策、不正アクセス防止、盗難・紛失対策などのセキュリティ対策を万全に行う必要があります。
一例として、ウイルス対策ソフト「McAfee」では、機械学習による動作分析、ウイルス対策、エクスプロイト防止、ファイアウォール、Web 管理などが連動して機能します。
脆弱性対策を人ではなくソフトが行うことで、手動でありがちな「セキュリティパッチ(※2)の更新忘れ」を防止でき、常に外部からの脅威に備えられます。
他にもWebサイト閲覧監視、端末の利用時間監視などの機能が搭載されているツールも登場しています。ツールの活用を視野に入れながら、自社のセキュリティポリシーに準じた対策を施しましょう。
通信経路
2000年~2016年ごろまでは「通信内容の盗聴」が話題に上がりましたが、昨今は無線のセキュリティ技術やデータの暗号化対策が強化されたため、企業経営に影響する事件にまで発展したケースは、ほとんど耳にしなくなりました。
セキュリティ強化の一例として、2018年にはGoogleが、「HTTPサイト」へアクセスした際に警告を出すようになり、暗号化された通信を行う「HTTPSサイト」のみを良サイトとして評価するように変更しました。ネットワークアクセスに伴う通信経路の安全性は、年々強化されている傾向にあります。
また、データ通信の安全性をさらに高める場合は、通信の専用線を設ける「VPN」(Virtual Private Network 仮想専用線)を利用します。
例えば、ソフトウェアのヘルプデスク業務において、ユーザーからの問い合わせに画面を共有しながらオンラインで対応するような時は、ユーザーの情報を守るためにもVPN環境の構築が必須と言えます。
人為的なミスも気をつけなければなりません。業務で使用するメールやチャットで誤送信すれば第三者に機密情報を知られてしまいます。
Slack、LINE WORKS、Chatworkなどのチャットツールではグループ機能が搭載されています。これらの機能を活用して特定のグループのみで運用することを徹底すれば、「第三者への情報漏えい」のリスクを排除できますので、利用範囲を限定した運用ルールの策定が必要です。
ただ、従業員同士のコミュニケーションをLINEWORKSで行っている企業も多いと思いますので、リスクを許容し、セキュリティの意識を持ちながら活用していきましょう。
クラウド
オンラインストレージ上にデータを保管する企業が増えています。GoogleDrive、OneDrive、Dropboxなどのツールが有名ですが、これらのストレージはサービス提供側がセキュリティ対策を施していますので、高い安全性が担保されていると言えます。
しかし、大手サービスでもサービスがダウンしないとは言い切れません。万が一の時に備えて、データのバックアップを取ることは忘れないようにしましょう。
企業の機密データが保管されている「企業サーバー」は、絶対に不正アクセスを許してはいけない領域です。新たな脅威にスピーディーに対応するためにも、セキュリティパッチ(※2)の更新、ウイルスチェックの頻度は少なくても1日1回は必要です。
また、社内のサーバー管理者が不在の時でも「不正アクセス検知」などの緊急事態に対応できるように、管理マニュアルを整備して内部で情報共有をしておくと安心です。
まとめ
IoTではモノ同士がインターネットで繋がるため、①デバイス、②通信経路、③クラウドの各所でのセキュリティ対策が必要です。その際、攻撃者の目的や狙われやすいポイント、経営リスクなど、多方面からリスク分析すると自社にとって対策すべきポイントが明確になり、適切なセキュリティ対策を講じることができます。
また、考えうる全てのリスクを対策するのは現実的ではありませんので、リスクを許容できるケースとリスクを許容できないケースを分けることが大切です。「自社にとって守らなければならない資産のためにセキュリティ対策を行う」ことを忘れてはなりません。
特に「顧客情報」や「企業情報」の流出は企業経営に大きな打撃を与えます。例えば、今回ご紹介したウィルス(Mirai)にIoTデバイスが感染すると、遠隔でIoT機器が操作可能になり、攻撃者から情報にアクセスされてしまいます。
サーバーはもちろんのこと、従業員が使用するPCやスマホなど、機密情報にアクセスする手段には適切なセキュリティ対策を施しましょう。