“モノのインターネット(Internet of Things:IoT)”に対する期待が高まっている。インターネットに接続する端末が増えていくが、セキュリティをどのように担保すべきだろうか――。12月15日にウインドリバーが開いたセミナーでフリーランスライターの高橋睦美氏が解説した。
高橋睦美氏
IoT市場について、IDCは2013年の11兆1000億円から2018年には21兆1000億円になると予測している。その一方で、Hewlett-Packardは、70%の端末に悪用される可能性がある脆弱性が存在すると予測している。脆弱性が発見されても修正されるまでに時間がかかるケースも想定されている。
脆弱性が多くなる理由として高橋氏は「悪用される可能性を前提に設計、開発されていない」「汎用のOS、プロトコルをベースに接続されている」を挙げた。
IoTの端末に蓄積されるデータに価値があるものも含まれるため、悪用される可能性が高いという。一方、十数年ほど前は悪用される可能性を考慮しておらず、汎用のOSを利用しているのは、企業内で使われている情報システムも同じと高橋氏は説明する。
この10年間に情報システムで起こったセキュリティの事故や事件は「ワームの蔓延、不正アクセスの横行」による情報漏えいなどだが、攻撃手法がどんどん高度化していると指摘。IoTに接続される端末は小さなコンピュータと考えるべきであり、そのセキュリティに関する考え方も既存のコンピュータと同様に考えるべきと、提言した。
「洗練されたサイバー攻撃の手法を使って、準備が整っていないIoTの端末を襲う可能性がある」(高橋氏)
情報システムでは現在、攻撃を食い止める予防手段として「アクセス制御・認証」「脆弱性検査後の出荷」「暗号化によるデータ保護」などがある。インシデントの事後策としては、脆弱性対処後の窓口の設定とともにパッチの作成と配布、有事を想定した情報共有体制の確立や予行演習などが現在有効だと説明した。
これらの対策はIoTでそのまますべてが有効というわけではない。「安全を考慮した設計」「ぜい弱性検査後の出荷」は可能だが、暗号化によるデータ保護はリソースを食うためデバイス側では難しく、PCのようにアップデートが前提のマシンではないため、適用を求めるのは困難と指摘した。
IoTの領域では特に、「ハードウェアではコンピュータのリソースが限られる」「ユーザーのリテラシーがバラバラ」「製品寿命がIT市場より長く、サポートも長い」「ハードウェアにセキュリティの機能を多数載せることによるコスト増」などの課題があるという。
そのため、現在の対策として「決まった動作だけ実施するホワイトリストの設定」「チップにより設定以外の通信を制御する」などを挙げた。また、クラウドにより暗号化、クラウド側へに監視データを送信し分析を加えて攻撃を予兆する手法を紹介した。
また、セキュリティにはこれをしたから安心という対策はなく、環境の変化に伴いアーキテクチャの変更が常に迫られていると説明し、継続的な対策が必要であることを強調していた。
