CLOSE UP コラム | IoTにおけるセキュリティの課題

IoTにおけるセキュリティの課題

CLOSE UP 事例

2016年07月13日
オープンソース活用研究所 所長 寺田雄一

2020年までに13.8兆円に達すると予測されている国内IoT市場。同年までにIoT機器が530億個にまで膨れ上がると予測されている巨大市場だ。急速に拡大するIoTは、裏腹にセキュリティの課題も抱えている。

IoTに、ITのベストプラクティスは通用しない。

IoTの利用範囲は多岐にわたる。身近なところでは、スマートハウスや家電、車など、小売業、流通業であればPOS端末やATM、製造業ならば流通管理や生産管理といった領域で、効率化やコスト削減、新サービスの創出を後押しするものとして、日々利用が拡大している。さらに、医療システムや交通制御システムなど、専門性の高い分野も含め、ありとあらゆる分野への適用が始まっているのだ。

IoTは、端末と、それらをつなぐネットワーク、そして制御を行うサーバーやクラウドサービスといった要素で構成されている。既存のITシステムにも似た構成である。要するに、IoTを構成するソフトウェアの脆弱性や認証の欠如、通信経路のセキュリティ不備、設定の不備といったリスクは、ITシステムと同様に存在するのである。そして、このリスクは、デバイスに汎用OSが搭載され、IoT機器をつなぐネットワークが専用網からオープンなインターネットになったことによって、より高まっているといえる。

すでに監視カメラや家庭用ルーターなどを狙った深刻な攻撃も報告されているのが実情だ。

構成が似ているのであれば、ITシステム同様、「ソフトウェアの脆弱性を検査し、修正する」「不要なサービスは使わず、デフォルト設定のうち不適切なものは変更する」「強固な認証を行う」「通信経路やデータを暗号化する」といった、これまでのセキュリティ上のセオリーを生かしたいところだが、IoTはその“特有の事情"から、ITの世界のベストプラクティスをそのまま適用できない側面もある。むしろITシステムに比べてサイバー攻撃や脆弱性が発見された場合の対策がまだ未整理であることが、IoTの抱えるセキュリティ上の最大の課題といえる。

IoT"特有の事情"から想起するセキュリティ上の課題。

IoT“特有の事情"とは、たとえば、次のような点である。

・デバイスのリソースが少ない。

一般的にコストパフォーマンスや省電力、省スペースを求められるIoTのデバイスは、CPUやメモリなどのリソースが少なく、セキュリティ機能の搭載が難しい。

―長く使われる一方でアップデートが困難である。

IoT端末の平均運用期間は長くなる傾向にある。寿命が長くなればなるほど、当初の設計では想定されていなかった脆弱性が見つかる可能性は高くなる。

さらにIoTユーザーの裾野が広がれば広がるほど、「アップデートして修正をする」というリテラシーをIoTユーザーにも周知させるための啓蒙活動が必要になってくる。

―利用者が多岐にわたり、取り扱いデータが膨大なため、被害は連携サービスにまで拡大する。

IoT利用者は多岐にわたる。だからこそ開発時には想定していなかったサービスやアプリケーションがIoT端末とつながる可能性があり、思わぬリスクにさらされる危険性がある。仮にIoT端末ではセキュリティ対策を講じていても、連携サービスやアプリに脆弱性があれば、そこが突破口となって、情報漏えいなどのリスクにつながる可能性がある。

さらにIoTが収集するデータは膨大なものになるため、そのデータはいったい誰のものになるのか、どのように扱うべきか、プライバシー保護の観点に踏み込んで議論していく必要がある。

米Symantec社のマーク・ショウ氏は、IoTのセキュリティで考慮するべきこととして、次の4項目を掲げる。

  1. デバイスの保護と収集されるデータのプライバシーを守ること
  2. デバイスの多様性と性能面での制限を考慮すること
  3. ソフトウェアのアップデート手段を確保すること
  4. 収集されるビッグデータの所有権を明確にすること

IoTの端末には家電から企業用工業製品まで多種多様であり、場合によってはセキュリティ機能を組み込むことが難しい端末も存在する。そのような場合には、デバイスとサーバー間のやりとりの際にデータと相手先が本物かどうかを確認する対策が急務となる。

http://iot.mb.cloud.nifty.com/iotcolumn/iot%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%AA%B2%E9%A1%8C%E3%81%A8%E3%81%AF


著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【講演資料を公開】7/28【サービス事業者向け】中小企業が狙われた、サプライチェーン攻撃の手口を解説 ~サイバー攻撃の被害に遭う中小企業の3つの共通点と、その対策~(2022年08月27日 09:15)

2022-07-28(木)15:00 - 16:00 「【サービス事業者向け】中小企業が狙われた、サプライチェーン攻撃の手口を解説 ~サイバー攻撃の被害に遭う中小企業の3つの共通点と、その対策~」 と題したウェビナーが開催されました。 皆様のご参加、誠にありがとうございました。 当日の資料は以下から無料でご覧いただけます。 ご興味のある企業さま、ぜひご覧ください。

関連タグ

主成分分析(Principal Component Analysis)

  • 用語集

「主成分分析」とは、ビッグデータをはじめとした多変量データを統合し新たな総合指標を作り出し、多くの変数にウェイトをつけて少数の合成変数を作る統計手法である。ビッグデータ分析の現場などにおいて、多変量の情報をできるだけ損なわずに低次元空間に縮約する。多変量データを二次元や三次元データに縮約することで、データ全体の視覚化が可能となり、データのもつ情報を解釈しやすくなる。

データマネージメント(Data Management)

  • 用語集

データを蓄積する仕組みの構築や運用、データ構造の可視化やデータの意味管理などを行いながらデータを適切に管理することで、データの信頼性・整合性を確保すること。

データウェアハウス(Data Warehouse)

  • 用語集

「データウェアハウス(DWH:Data WareHouse)」とは、ビジネスインテリジェンスに活用するための「データ倉庫」を意味し、目的別かつ時系列に編成/統合され、削除や更新されないデータ集合体(データベースシステム)を指す。

クラウド・コンピューティング(Cloud Computing)

  • 用語集

「クラウド・コンピューティング」とは、データを、パソコンや携帯端末ではなく、インターネット上に保存する使い方やサービス。

ウェアラブルデバイス(Wearable Device)

  • 用語集

ウェアラブルデバイスとは、手首/腕/頭など体の一部に装着して使用するコンピュータデバイスの総称を指す。

バックナンバー

関連記事

無料資料プレゼント

2021/03/04 セキュリティDAYS Keyspider資料

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該資料の作成・提供企業とも共有させていただき、当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

本資料を見るには次の画面でアンケートに回答していただく必要があります。



セミナー講演資料公開中

システム責任者が知っておくべき 「MySQLの高可用性/HA構成」 の選択肢と比較 〜 MySQLデータベースのダウンタイム“ゼロ”を目指す〜

ハイブリッドワークにおける電話の新しいカタチ ~セールスプロセスを最適化する次世代クラウドビジネスフォン~

【企業ネットワーク向け】ローカルブレイクアウト、適用できないSaaSはありませんか?通信速度や運用に課題はありませんか? 〜LBOに最適なネットワーク機器や管理ツールによる解決策をご提案〜

  • 書籍

Analytics News ACCESS RANKING

facebook

twitter