デジタルトランスフォーメーションの実現に向け、オフィスでの業務だけでなく、工場や店舗などでもデジタル技術の活用に向けた動きが始まっている。そこで鍵となるのがIoTデバイスだ。形はさまざまだが、さまざまな場所にIoTデバイスを設置してデータを収集し、インターネットを介してクラウド上で解析し、そこから得られた知見を元にビジネスやサービスを改良して新たな価値を作る流れが始まりつつある。
これに伴って、IoTデバイスの数は増加の一途をたどっている。総務省の情報通信白書によると、世界のIoTデバイスの数は2020年の約253億台から2021年には277.9億台へ、2022年には309.2億台に増加すると予測されている。
だが、IoTデバイスの増加と比例するように、IoTデバイスのマルウェア感染数も増加している。マイクロソフトによれば、2020年のIoTの感染数は100%、つまり倍に増加した。また、インターネットで観測されたマルウェア感染活動のうちIoTが占める割合は、2019年の16.17%から2020年には33%へと上昇している。別記事でも紹介した「Digital Defense Report 2021」においても、IoT/OTを狙う脅威の顕在化が指摘されている。
こうした状況を裏付けるデータは他にもある。たとえば国立研究開発法人情報通信研究機構(NICT)が2022年2月に発表した「NICTER観測レポート2021」によれば、インターネット全体を広範囲にスキャンして脆弱性を抱えたIoT機器やサーバを探索しようとする通信は、2020年に比べれば減少したものの、年間で1つのIPアドレス当たり約175万パケットと依然として高い水準にある。またIoT機器に特徴的なポート番号を狙った通信も、多くの割合を占めている。
こうした状況を放置していては、新たな価値を生み出すはずのIoTデバイスがサイバー攻撃に悪用され、本来の目的が妨げられてしまいかねない。
変化したITシステムの世界で注目されるゼロトラストセキュリティ
では、IoTの世界ではどのようなセキュリティ対策が考えられるだろうか。ヒントにしたいのが昨今注目を集める「ゼロトラストセキュリティ」という考え方だ。
ゼロトラストセキュリティについてはあちこちで取り上げられているため、耳にしたことのある人もいるだろう。
ITのセキュリティは長年、企業ネットワークとインターネットを分けて考え、外部からやってくる脅威を境界で防ぐモデルに基づいて構築されてきた。しかし近年、クラウドサービスが当たり前のように使われるようになり、モバイルPCを活用してのリモートワークも、特にコロナ禍をきっかけに広がっている。このように環境が変化した結果、内と外を分けてきた「境界」が曖昧になり、守るべきものがあちこちに分散しつつある。
この世界でセキュリティを担保するための考え方が、ゼロトラストセキュリティだ。直訳すれば「何も信用しない」というイメージをもたれがちだが、より正確を期するならば「やみくもに信用しない」という表現が適切だろう。
ゼロトラストセキュリティではアクセスしてくるユーザーやデバイスの身元を明示的に確認し、その情報に基づいて必要最小限の権限を渡して制御していく。利便性か、セキュリティかの二者択一ではなく、業務を自由に行える柔軟性を確保しながらセキュリティを担保していくことが特徴だ。また、サイバー攻撃の高度化にともなって水際で100%防ぐことは非現実であることを踏まえ、侵入を想定した上で被害を最小化していく考え方も、広い意味ではゼロトラストの構成要素の一つと言えるだろう。
スペックや接続性に制限のあるIoTにゼロトラストを適用するポイントは?
すでに世の中にはゼロトラストセキュリティに基づいたさまざまなソリューションが、マイクロソフトを含めたさまざまなベンダーによって提供されている。そして、対応が迫られているIoTデバイスの保護においても、ゼロトラストセキュリティの考え方は有効だとマイクロソフトでは考えている。
ただその際には、IoT特有のいくつかの条件を考慮することが重要だ。
たとえば、PCなどであればユーザーがログインした上で利用されるケースがほとんどだが、IoTデバイスは電源を入れたらすぐに動作し始め、センサーによる情報収集やデータのアップロードといった動作を自動的に開始する。また、使われる場面は多様で、時には老朽化したインフラと統合した形で運用されることも珍しくない。そして、年々性能は向上しているとはいえ、ITシステムを構成する機器に比べて小型で、ハードウェアスペックも余裕があるとは言いがたい。このため機能や接続性はどうしても限定されがちだ。
一方でIoTデバイスの数は、オフィスやデータセンターで稼働するIT機器に比べ桁違いに多い。攻撃する側から見れば、ひとたび侵入できれば侵害範囲を一気に広げることも可能な、うまみのある、価値の高いターゲットと言える。
それでいてIoTデバイスは、必ずしもオフィスのように人の目がある場所に設置されるとは限らない。人があまり頻繁に足を運ばない土木・建設の現場や河川、ダム、あるいは水田など、監視が行き届かない場所で稼働することも珍しくなく、その意味でも攻撃にさらされるリスクは高い。
こうしたIoT特有の事情を踏まえながら、どのようにIoTの世界にゼロトラストセキュリティという考え方を埋め込み、守っていけばいいのだろうか。
実はマイクロソフトではそのポイントをまとめた「Zero Trust Cybersecurity for the Internet of Things」というガイドブックを作成し、公開している。具体的には、Hardware Root of Trustによるデバイス信頼性の保証やAzure Sphereによるネットワークでの保護、そして各デバイスを保護するDefender for IoTといった要素を活用し、IoTシステムでゼロトラストセキュリティの世界を実現していく方法が紹介されている。このセッション「Microsoftの最新IoTデバイスセキュリティソリューション」でもその概要が紹介されているため、ぜひ参考にしてほしい。