catch-img

IoT とセキュリティ(2) ~IoT機器でありがちなセキュリティの盲点~

IoT 機器の脅威

 

前回、情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2018」では個人の脅威に「IoT機器の不適切な管理」、組織の脅威に「IoT機器の脆弱性の顕在化」がランクインされているとお伝えしました。
提供者(製品、サービス)側だけでなく、利用者側にも脅威が指摘されていることで、セキュリティ対策は多角的な視点で行う必要があるということがわかります。

(参考)情報処理推進機構(IPA):「情報セキュリティ10大脅威 2018」

 

IoT 機器の性質

 

では、IoT機器として何か特別なセキュリティ対策は必要なのでしょうか。IoT機器はネットワークに接続して使用されるため、一見、サーバやクライアントPCと同様の対策が有効であるように見えますがIoT機器特有の性質を理解すると必要な対策のヒントが見えてきます。

例えば IoT セキュリティガイドラインver 1.0の P4~5には6つのIoT特有の性質の解説があり参考になります。実際に利用する IoT 機器の性質を加味し、技術面、管理面からどのような対策が有効なのか検討するとよいでしょう。

 

【IoT特有の性質】

(性質1)脅威の影響範囲・影響度合いが大きいこと
脅威が IoT 機器単体だけでなくシステム全体へ影響することを指しています。医療現場や重要インフラ等で使用されていると、生命の危険や情報漏えいにつながる可能性もあります。

(性質2)IoT 機器のライフサイクルが長いこと
長期(10年以上)に渡って使用されるため、導入時に行ったセキュリティ対策が経年により陳腐化する危険性があります。

(性質3)IoT 機器に対する監視が行き届きにくいこと
一般的に IoT 機器は状態を監視する画面がないものが多く、人目で問題発生を確認することが困難です。

(性質4)IoT 機器側とネットワーク側の環境や特性の相互理解が不十分であること
IoT 機器は設置が容易な反面、セキュリティ対策をネットワークにゆだねている場合もあり、接続先のネットワーク特性の影響を受ける可能性があります。

(性質5)IoT 機器の機能・性能が限られていること
IoT 機器のリソースが限られているため単体で十分なセキュリティの実装が出来ず、他の製品などで別途セキュリティ対策が必要な場合があります。

(性質6)開発者が想定していなかった接続が行われる可能性があること
技術や環境の変化などで、開発者自身が今まで想定していない環境で使用される可能性があります。

 

安全に IoT 機器を利用するには

 

IoT セキュリティガイドラインの第3章「一般利用者のためのルール」をご紹介します。IoTを設計する側ではなく一般利用者のためのルールですので、まずは身近なところから見直してはいかがでしょうか。

(ルール1)
問合せ窓口やサポートがない機器やサービスの購入・利用を控える

(ルール2)
初期設定に気をつける ※ID、パスワードの取り扱いに注意します。

(ルール3)
使用しなくなった機器については電源を切る

(ルール4)
機器を手放す時はデータを消す

(出典:参考)経済産業省:IoTセキュリティガイドラインを策定しました

 

セキュリティ技術を学ぶには

 

セキュリティの基礎を固めることにより、IoT に限らず新技術にセキュリティを実装することが容易になります。

トレノケートではセキュリティの技術概要を広く学ぶコースから特化したセキュリティ技術を深めるコースまで様々なコースをご用意しております。

 

トレノケートのセキュリティ基礎コース:

 

新入社員、一般社員の方向けの基礎コース

情報セキュリティ対策 リテラシー編

 

情報セキュリティの担当者、ITエンジニアの方向けの基礎コース

情報セキュリティ対策 技術概要編

 

 

井田 潤(いだ じゅん)

トレノケート株式会社 プロダクト開発室。ISC2 Certified Information Systems Security Professional (CISSP) / EC-Council Certified EC-Council Instructor (CEI) / EC-Council Certified Ethical Hacker (CEH) / CompTIA Certified Technical Trainer (CTT+)他。 通信プロトコルに興味を持ち、ネットワーク系SIerからキャリアをスタート。 外資系セキュリティベンダ等にて数多くのセキュリティ関連プロジェクトに参画後、2016年にグローバルナレッジネットワーク株式会社(現トレノケート株式会社)に入社。新規事業開発、DX、デザイン思考、セキュリティ関連コースの企画・開発、実施などを手掛ける。 一般財団法人日本サイバーセキュリティ人材キャリア支援協会(JTAG財団)企画運営統括委員、日本ネットワークセキュリティ協会(JNSA)教育部会産学連携プロジェクトメンバー 、国立研究開発法人情報通信研究機構(NICT)CYNEX アライアンス CYROP ボードメンバー。著書に「ポケットスタディ 情報セキュリティマネジメント 頻出・合格用語 キーワードマップ法 テキスト&問題集258題(秀和システム)」がある。

無料ダウンロード

オススメコンテンツ

オススメ記事

プロジェクトマネジメント PMP AWS ビジネススキル Microsoft PMBOKⓇ 田中淳子 IT資格 人材育成 山下光洋 AMA Azure コミュニケーション 人材開発用語集 PMBOK®ガイド入門 クラウド ITスキル 新入社員 横山哲也 人材育成応援ラジオ DX re:Invent セキュリティ PMP試験問題に挑戦 Cisco PMBOKⓇガイド 第6版 試験体験記 AI(人工知能) イベント・セミナー PMBOK®ガイド第6版の変更点 人材開発 CCIE CCNA DX人材育成 テレワーク ネットワーク リモートワーク 研修 GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server AI人材 AWS_Q&A Active Directory IT人材 IT資格解説 アセスメント キャリア デジタルビジネス ヒューマンスキル リーダーシップ 人気コースランキング 大喜利 部下の育成 PMの心得 グローバル人材 新入社員研修といえば 生成AI IoT OJT reinvent2022 リスキリング CCNP Security Windows PowerShell クリエイティビティ プログラミング 人材トレンド PMP試験対策一問一答 コーチング プロジェクト プロトタイプビルダー 試験対策問題 1on1 AWS_DiscoveryDay AWSトレーニングイベント GCP無料セミナー Google Cloud Google Cloud Platform G検定 ITインフラ oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ダイバーシティ ディープラーニング ワーケーション 自律 試験Tips Linux PMI Power Platform Python Teams Web会議 cybozudays jawsdays2024