IoTの広がりによって高まる利便性とサイバーリスク
モノのインターネット(Internet of Things:IoT)デバイスの世界的な増加がニュースにも取り上げられています。IoTの登場で、従来はインターネットに接続されていなかったさまざまなモノ、例えば、センサー機器や家電製品、車、さらに住宅・建物などが、いまやネットワークを通じてサーバーやクラウドサービスに接続し、相互に情報交換する仕組みを持つようになりました。
音声アシスタントによるスマートホームなど、IoTは生活の一部として今後もますます欠かせないものとなりそうです。しかし同時に、ネットワークに接続するとなれば、サイバーセキュリティの問題は無視できません。IoTの広がりは、サイバー犯罪者にとって攻撃可能な対象が増えることを意味します。IoTは、利便性とサイバーリスクという正と負の両面を併せ持つものとも言えるでしょう。
このサイバーリスクは、大量のデバイスとネットワークの利活用が事業継続に欠かせない企業で特に今日的な問題となっています。IT管理者やセキュリティ担当者にとって、IoTデバイスをはじめとするコネクテッドアセットの利用増加が招くサイバーリスクの高まりに対処することは、先延ばしにできない重要な課題です。
企業におけるIoTデバイスは世界的に増加の一途
Armisは2019年7月、北米企業のITセキュリティ・技術部門担当者403人を対象に、IoTセキュリティをテーマとした調査「State Of Enterprise IoT Security In North America: Unmanaged And Unsecured」(北米における企業IoTセキュリティの状況:アンマネージドかつ非セキュア)を実施しました。この調査では、企業内におけるアンマネージドIoTデバイス数の増加率を年30%と推計し、2022年には約180億個に達すると予測しています。一方、2022年5月に発表された別の調査では、2021年時点でのアクティブなエンドポイント数は122億個ですが、2022年には増加率が年18%まで上昇するため144億個に達するとされ、IoTデバイスの増加という点で同じ傾向が示されています。
以下、Armisのレポートが示す注目すべき数字から、企業のIoTセキュリティにおける課題や対策の状況について見ていきたいと思います。
アンマネージドIoTデバイスは何を指し、どう増える?
Armisのレポートでは「アンマネージドIoTデバイス」の定義を「組織内の他のデバイスやシステムと通信でき、情報を処理し、送信できるオペレーティングシステムを持つが、従来のセキュリティツールでは管理できないもの」としています。
具体的には以下の5分類を挙げています。
- オフィス機器および周辺機器(プリンター、VoIP電話、Bluetoothキーボード、ヘッドセットなど)
- ビルディングオートメーション(セキュリティシステム、照明システム、自動販売機など)
- 個人もしくはコンシューマー機器(スマートフォン、ゲーム機、車など)
- 業界特化型機器(製造管理システム、医療機器、小売店用機器など)
- ITインフラストラクチャー(アクセスポイント、ルーター、ファイアウォールなど)
アンマネージド、つまり、“管理しきれない”ことも無理からぬ多種多様さと数量でIoTデバイスが企業に存在することは、この分類が物語っています。アンマネージドIoTデバイスのリスク管理における大きな課題は、まずIoTデバイスを把握する部分、つまり可視化にあると言えるでしょう。
企業で増加するこうしたデバイスについて、レポートでは、ビジネス主導で事業最適化の取り組みに関連したものに加え、意図せずITセキュリティ担当者の目を逃れたものが目立つと指摘しています。
調査に協力した技術部門担当者403人のうち69%は、彼らの企業のネットワークに接続する機器のうち少なくとも半数がアンマネージドIoTデバイスであると回答しました。さらに26%はアンマネージドデバイスの数がマネージドデバイスを3対1の比率で上回っていると回答しています。
コロナ禍以前の調査時に比べ、リモートワーク/ハイブリッドワークの進展によって物理的なオフィス外に業務の場が移り、IT管理者の目がいっそう届きにくく、デバイスの管理がより難しくなっている現在では、アンマネージドデバイスの比率はより高まっている可能性があります。
