前回、情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2018」では個人の脅威に「IoT機器の不適切な管理」、組織の脅威に「IoT機器の脆弱性の顕在化」がランクインされているとお伝えしました。
提供者(製品、サービス)側だけでなく、利用者側にも脅威が指摘されていることで、セキュリティ対策は多角的な視点で行う必要があるということがわかります。
では、IoT機器として何か特別なセキュリティ対策は必要なのでしょうか。IoT機器はネットワークに接続して使用されるため、一見、サーバやクライアントPCと同様の対策が有効であるように見えますがIoT機器特有の性質を理解すると必要な対策のヒントが見えてきます。
例えば IoT セキュリティガイドラインver 1.0の P4~5には6つのIoT特有の性質の解説があり参考になります。実際に利用する IoT 機器の性質を加味し、技術面、管理面からどのような対策が有効なのか検討するとよいでしょう。
(性質1)脅威の影響範囲・影響度合いが大きいこと
脅威が IoT 機器単体だけでなくシステム全体へ影響することを指しています。医療現場や重要インフラ等で使用されていると、生命の危険や情報漏えいにつながる可能性もあります。
(性質2)IoT 機器のライフサイクルが長いこと
長期(10年以上)に渡って使用されるため、導入時に行ったセキュリティ対策が経年により陳腐化する危険性があります。
(性質3)IoT 機器に対する監視が行き届きにくいこと
一般的に IoT 機器は状態を監視する画面がないものが多く、人目で問題発生を確認することが困難です。
(性質4)IoT 機器側とネットワーク側の環境や特性の相互理解が不十分であること
IoT 機器は設置が容易な反面、セキュリティ対策をネットワークにゆだねている場合もあり、接続先のネットワーク特性の影響を受ける可能性があります。
(性質5)IoT 機器の機能・性能が限られていること
IoT 機器のリソースが限られているため単体で十分なセキュリティの実装が出来ず、他の製品などで別途セキュリティ対策が必要な場合があります。
(性質6)開発者が想定していなかった接続が行われる可能性があること
技術や環境の変化などで、開発者自身が今まで想定していない環境で使用される可能性があります。
IoT セキュリティガイドラインの第3章「一般利用者のためのルール」をご紹介します。IoTを設計する側ではなく一般利用者のためのルールですので、まずは身近なところから見直してはいかがでしょうか。
(ルール1)
問合せ窓口やサポートがない機器やサービスの購入・利用を控える
(ルール2)
初期設定に気をつける ※ID、パスワードの取り扱いに注意します。
(ルール3)
使用しなくなった機器については電源を切る
(ルール4)
機器を手放す時はデータを消す
セキュリティの基礎を固めることにより、IoT に限らず新技術にセキュリティを実装することが容易になります。
トレノケートではセキュリティの技術概要を広く学ぶコースから特化したセキュリティ技術を深めるコースまで様々なコースをご用意しております。