IoTのセキュリティについて

商用、個人用含め、急速に普及するIoTに関するセキュリティの課題について紹介する。

IPA発表「情報セキュリティ10大脅威2015」では、はじめてIoTについて示唆。

2015年3月に、独立行政法人 情報処理推進機構 IPAが発表した「情報セキュリティ10大脅威２０１５」の順位は次のとおり。

1位　インターネットバンキングやクレジットカード情報の不正利用
2位　内部不正による情報漏えい
3位　標的型攻撃による諜報活動
4位　ウェブサービスへの不正ログイン
5位　ウェブサービスからの顧客情報の窃取
6位　ハッカー集団によるサイバーテロ
7位　ウェブサイトの改ざん
8位　インターネット基盤技術を悪用した攻撃
9位　脆弱性公表に伴う攻撃
10位 悪意のあるスマートフォンアプリ

報告書では、解決すべき課題、問題視されている脅威や今後大きな脅威となると考えられる懸念についても言及。2015年は、はじめてIoTのセキュリティ対策について言及され、IoTのセキュリティが今後の脅威となることへの懸念を示唆している。

http://iot-jp.com/iotsummary/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/iot%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%84%85%E5%A8%81/.html

IoTの普及には、セキュリティが重要な課題になる。

NTTコミュニケーションズ株式会社・技術開発部 IoTクラウド戦略ユニット、境野哲担当課長は、IoT市場動向について説明するなかで、「IoTの普及においては、セキュリティが重要な課題になる」ことを指摘した。

IoTのセキュリティの課題としては、管理者不在のモノがつながり続けること、セキュリティホールを持つものがつながること、モノがサイバー攻撃の踏み台にされること、機密データや個人情報が盗まれること、ロボットや無人機が犯罪やテロに使われるといった可能性を挙げ、「ネットワークにつながるあらゆるモノの安全を守ること」の重要性を指摘している。

たとえばIoTの導入が進む製造業において、製造設備の制御システムを対象としたサイバー攻撃が増加している。仮に制御システムがサイバー攻撃されると、大規模停電、断水、工場の生産停止、医療機器の停止、交通事故といった被害が発生する。

境野氏は、「制御システムのセキュリティを強化しておかないと、製造現場のロボットが産業スパイに変わったり、介護分野では殺人鬼に変わったりする可能性がある。そうした対策を採るには、ロボット本体のセキュリティだけでなく、メンテナンス環境や取り巻く環境のセキュリティにも注力する必要がある」と提言した。

http://cloud.watch.impress.co.jp/docs/news/20150602_704808.html

IoTのセキュリティは、セキュリティベストプラクティスが適用できない。

IoTデバイスは、バソコンに比べて平均運用期間は長くなる傾向にある。寿命が長くなればなるほど、当初の設計では想定されていなかった脆弱性が見つかる可能性は高くなるため、アップデートやセキュリティ問題の告知が必須となるが、なかにはアップデートが困難で、パッチ適用が難しいIoTも少なからず存在する。セキュリティベストプラクティスが適用できないケースも少なくないのだ。

一方、IoTデバイスの利用者が幅広くなっているためリテラシーの水準はこれまで以上にばらつきが見られる。ユーザに対して、セキュリティアップデートの必要性を認識してもらい、作業してもらうための仕組みや工夫が求められている。

http://www.atmarkit.co.jp/ait/articles/1505/26/news028.html