前編ではネット接続による攻撃を恐れて、ネットに接続しなかったばかりに、別ルートからの攻撃に気がつくことができなかった例を紹介しました。「モノのインターネット (IoT : Internet of Things)」時代にはネットワークにつながっていることが、むしろセキュリティを確保するための前提なのです。
後編では、どのような事故であれば受け入れることができるのかを明確にし、それに対応するようなリスクを有していないかを判断する方法を解説します。
インターネットに接続される機器が抱えるトラブル
機器をインターネットに接続するとどのようなトラブルが発生する可能性があるのでしょうか。ここで一例を挙げます。
- 保存されている情報が公開されてしまう
- 機器の設定が変更されてしまう
- 踏み台となって家庭内ネットワーク、社内ネットワークに侵入されてしまう
- ボットとしてスパムやDoS攻撃の遠隔操作端末にされてしまう
みなさんの環境ではもっといろいろな事故が想定されるかもしれません。ぜひそれも併せて検討下さい。それでは1つずつ確認してみましょう。
まず、「保存されている情報が公開されてしまう」という問題については、接続されている機器がどのような情報を保存しているのかについて検討が必要です。
例えば、インターネット対応冷蔵庫にはどのような情報が保存されているのでしょうか。庫内の状況を要求に応じてリアルタイムに見ているのでなければ、きっと前回トビラを閉めた時の状況が保管されているように思います。また、メモなどを残せるようになっているのであれば、そのメモも保存されているに違いありません。
となると、その情報が公開された時にどの程度の影響があるかを検討することになります。これを情報セキュリティでは「機密性」と呼んでいます。情報の重要度のことを機密性と呼んでいる人もいますが、それは違います。情報が権限のない人に渡ってしまったときにどのような影響があるのかを機密性と呼びます。
冷蔵庫の内容が他の人に知られても構わないというのであれば、セキュリティ対策は必要ありませんが、影響があると想定して対策を考えます。
対策としては、“その情報を読み出すことができる端末やネットワークを限定する”といったことが考えられますが、そもそもその機能がデバイスになければ後付けはできず、対策が不可能ということになります。インターネットに接続する家電などを購入する際にはそのような機能があるかどうかを確認する必要があります。
次に「機器の設定が変更されてしまう」ということに関しては、ここに挙げた他の脅威も、もともとはこの脅威が原因となる場合が少なくありません。
機器の設定は、多くの場合、ウェブブラウザ経由で実施されます。ご家庭に無線LANのアクセスポイントがあれば、そのアクセスポイントにウェブブラウザで接続した際、管理者画面が表示されると思います。
機器にディスプレイ画面が付いているものは機器本体で設定できることがありますが、インターネット対応家電などもウェブブラウザで設定できるものが多いようです。管理者画面ではIDとパスワードの入力を求められますが、これについても設定を変更できないことで、外部から狙われやすくなってしまうという問題が発生します。