2017年06月27日
MITテクノロジーレビュー
拡大するサイバー犯罪で求められるIoTのセキュリティ
世界的な脅威となりつつあるIoT機器のセキュリティ
コンピューターを狙ったサイバー攻撃はハッカーとのいたちごっこだが、さまざまな対策が考えられ、実行されている。一方で、早急な対策を求められているのが、インターネットに接続されたIoT機器を狙ったサイバー攻撃だ。最近、急速に普及しているIoT機器を操り人形のように利用した攻撃が、深刻な被害を与えるようになってきた。
実際、米国ではセキュリティ専門家のWebサイトが、100万台もの防犯カメラ、ビデオレコーダーなどからの攻撃によってダウンさせられた事件も起きている。インターネットにつながったこれらのIoT機器がハッカーに乗っ取られ、大量のデータやWebページ取得の要求などが、標的となるサーバーに送信されたのだ。(4)
IoT機器を利用したサイバー攻撃は、パソコンを利用した攻撃よりも深刻な側面がある。まず、攻撃に利用される機器の数が飛躍的に増えていく可能性だ。冷蔵庫や電子レンジ、照明器具に至るまで家庭内のさまざまな機器がインターネットに接続されれば、悪用される機器の数もパソコンの数とは比較にならない。
また、それらの機器は一旦家庭やオフィスに設置されると、大抵のユーザーはソフトウェアをアップデートしようとは思わないだろう。脆弱性を塞ぐ自動アップデートの仕組みと、それを前提としたハードウェア、ソフトウェアの設計がされていなければ、欠陥は対処されないまま放置され、サイバー攻撃に利用されることになる。
さらに深刻な問題は、空調や医療機器といったインターネットに接続されたIoT機器がハッカーに乗っ取られると、人体に被害を与え、ときには人命を危険にさらしてしまう可能があるということだ。
海外では送電網システムがハッキングされ、実際に電力供給が遮断される事件も発生している。日本でも普及が進められているスマートメーターや解析ソフトウェアなど新たなテクノロジーが導入されるにつれて、危険は増す一方だ。マサチューセッツ工科大学(MIT)国際研究センターの最近のレポートによると、発電所や変圧器、送電線の古くなった設備を、できるだけ経費を抑えながらインターネット接続型のより新しく効率的な機器と交換する場合、セキュリティ対策がつい後回しにされがちだという。送電網システムが乗っ取られると、一度に数万件という単位の家庭が重大な危険に晒されるだろう。家電から自動車、オフィス機器、医療機器、さらには送電網まで、あらゆる機器やシステムのネットワーク接続化がさらに進んでいく。そこで、早急に考えなければならないのが、IoT機器のセキュリティ対策のレベルを引き上げていくことだ。(5)

ミシガン大学コンピューター科学・工学部のケビン・フー教授(サイバーセキュリティ)は米国議会の公聴会で、IoT機器のセキュリティ検査を担当する独立機関を政府が設立するよう勧めた。設立にあたっては、米国国家道路交通安全局が自動車の市販前に行う衝突実験のような検査や、国家運輸安全性委員会が事故発生後に実施する衝突後検証のようなサイバー攻撃後検査、さらに「攻撃と破壊の耐性検査」なども実施し、IoT機器がどの程度攻撃に対応できるかを確かめるべきだ、とフー教授は指摘する。
米国国土安全保障省は2016年11月に「IoTのセキュリティを担保する戦略的原則」を取りまとめて公表し、政府が「設計段階でセキュリティ機能を組み込む」ことを怠る企業に対し、訴訟を起こせるよう提言した。さらに、さまざまな分野のテクノロジーに関する産業基準を定める米国国立標準技術研究所(NIST)機関は、「より防御力が高く攻撃耐性の強い」ネット接続型システムを開発するための業界向け自主的ガイドラインを策定した。(6)
日本でもすでに情報処理推進機構(IPA)をはじめとする公的機関から、IoTのセキュリティ対策についてのガイドラインが公開されている。経済産業省が策定した「サイバーセキュリティ経営ガイドライン」の重要10項目にも「系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握」が含まれている。NEC サイバーセキュリティ戦略本部シニアエキスパートの吉府研治氏は、「製造業のセキュリティ対策は情報システム部門だけでなく、工場、製品開発部門の3つで考えることが必要です。開発の初期段階からセキュリティを考慮した開発プロセスを構築すれば、セキュリティ品質を高めることができます」と語る。
IoTでは「つながること」の利便性へ意識が向かいがちだが、自社が製造する機器がサイバー攻撃の原因となれば、事業継続に影響が及ぶことさえある。しかし、日本ではセキュリティ対策に関して「経営者によるリーダーシップ表明/体制構築」に課題を持つ企業がまだ多いという。今後は製造業でもCISO(最高情報セキュリティ責任者)を置くなど、サイバーセキュリティ対策に当たる体制の構築と人材育成が重要な課題だ。
関連記事