IoTはセキュリティ対策が重要！リスクと検討すべきことを解説

IoTが普及すると、デジタルマーケティングが加速して新しいビジネスが生まれていくことが想定されます。一方で、さまざまな情報が想定外の使われ方をしたり流出したりするサイバー攻撃も増加しています。IoTを活かしたものづくり・サービス提供では、今まで行われていた範囲を超えた情報管理対策が欠かせないものになるのです。この記事では、IoTが普及しもの同士がネットワークで繋がる際に検討すべきリスクと注意点についてご紹介します。

もののインターネット化と情報管理の重要性

IoTが進むと、今まで行われていたものづくりやサービスの提供に加え、情報の管理が重要になります。IoTが抱える問題点をみていきましょう。

どの情報を収集しているのかがわかりにくい

IoT機器は便利な一方、どんな情報が取得されているか一見してわからないため、利用者に必要以上の不安を与える可能性があります。

2013年にロンドンで、無線LAN基地局機能を持つ「スマートゴミ箱」を設置する実験が行われました。このゴミ箱は、デジタルサイネージのように広告を表示できる仕組みがあり、広告収入でゴミ箱の管理費用の一部を賄うことが想定されていました。ところが、広告表示効果を高めるため、設置場所周辺を通過する人々のスマートフォンなどの携帯端末からMACアドレスを収集する仕組みがありました。この仕組みがプライバシーの侵害にあたると大きな反発を受け、最終的にロンドン市から実験の中止が指示されたのです。

このゴミ箱で、「収集したMACアドレスと捨てたゴミを関連づけて調べられるのでは」「自分の行く先が監視されているのでは」という憶測を生む可能性があるのは想像に難くありません。IoTデバイスは、実際には取得していない情報が管理されていると誤解される恐れがあるのです。

セキュリティの脆弱性から情報流出が起きる場合も

IoTデバイスでは、想定外に情報が流出してしまう場合もあります。2017年にアメリカで、「録音」「再生」「通信」の機能を持つぬいぐるみに関わる情報漏洩事件が発生しました。

ぬいぐるみはBluetoothでスマートフォンとペアリングが必要で、例えば家にいるママのスマートフォンとぬいぐるみをペアリングして使用します。ぬいぐるみに子どもの声を録音すると、その音声が遠くにいるパパのスマートフォンで聞けたり、逆にパパがスマートフォンに話した声がぬいぐるみで確認できたりするのです。

しかしこの仕組みを管理するデータベースにセキュリティ上の脆弱性があり、登録したメールアドレスやユーザ名、パスワード、録音した音声データなどを第三者が取得可能になっていたのです。

このようにIoTデバイスを使った商品やサービスは、常にサイバー攻撃にさらされる可能性を踏まえた安全対策が欠かせません。

IoT機器は乗っ取りや流出への対策が重要

IoT機器やサービスは、インターネットに繋がっているため、事業提供者や利用者の意識が低ければ、十分なセキュリティ対策が行われないままIoTが使われることになります。

近年サイバー攻撃が急増しているため、IoTの利便性だけに注目しているとあとで大きな問題になる可能性があります。

サイバー攻撃が近年急増中

IoTについて十分な知識がないと、思ってもみないうちに不正アクセス被害や不正プログラムに感染する可能性も高まるのです。

国立研究開発法人情報通信研究機構の「NICTER 観測レポート2020」によると、サイバー攻撃の数は2011年から2020年までの10年間で約45倍に増加しています。特に、2018年から2020年の2年間では2.3倍に急増しており、IoT機器も無関係とはいえません。

IoTシステムはさまざまなかたちでサイバー攻撃を受ける可能性があるため、IoT機器の特性を考慮したセキュリティ対策が必要です。

IoT機器で考えられる情報セキュリティ被害事例

ここでは実際にどのようなかたちで情報セキュリティの被害が生じているかを紹介します。

情報処理推進機構が発行した「情報セキュリティ10大脅威 2020」によると、組織の分野ではすでに「IoT機器の不正利用」が9位に入っています。

「IoT機器の不正利用」とは、IoT機器をウイルスに感染させ、そこを踏み台にさまざまなサービスやネットワーク、サーバーにアクセスしてサイバー攻撃を行う（DDoS：分散型サービス妨害）形式がみられます。

従来のように、特定の端末から大量の不正アクセスが行われていれば、企業などの組織は比較的容易に発見や特定ができます。ところがこのようなサイバー攻撃では不特定の端末を経由して不正アクセスが行われるため、問題が見つかりにくい傾向があります。

IoTセキュリティガイドラインのポイント

IoT機器を活かした便利なサービスを提供するには、利用者だけでなく開発する企業経営者や担当者がセキュリティに関して対策すべきことが多くあります。

総務省では2016年に「IoTセキュリティガイドライン ver1.0」を公表し、企業経営者や担当者が配慮すべきことを明らかにしています。

IoTセキュリティガイドラインにおける5つの方針

「IoTセキュリティガイドライン ver1.0」では、「方針」「分析」「設計」「構築・接続」「運用・保守」の5つの指針が挙げられています。

ここではガイドラインの内容を簡単にご紹介します。

方針： IoTの性質を考慮した基本方針を定める 

万一情報が不正に使われると利用者に不利益をもたらし企業の存続に関わるほどの被害を与える可能性があります。そこでIoT のセキュリティ対策は企業の経営者を含めた認識が欠かせません。

経営者には「サイバーセキュリティ経営ガイドライン」に基づく対応を求め、企業には内部不正や関係者のミスを考慮したうえでIoTの安全を守る対策の検討が求められています。

分析：IoTのリスクを認識する

IoTを活用する場合は、事前にリスク分析や過去の事例分析などを行うことが求められます。

IoTで機器が繋がることによるリスク、IoT機器やサービスがサイバー攻撃を受け、ウイルスを広げてしまった場合のリスク、盗難や廃棄時など物理的なリスクなどについて各々検討が必要です。

サイバー犯罪はどんどん巧妙になっているため、例えば通常ネットワークに使わない機器でも万一IoT機器と繋がった場合どのようなリスクが考えられるかなどの検討も欠かせません。

設計：守るべきものを守る設計を考える

IoT機器やサービスのセキュリティ対策は万全なのに越したことはありませんが、予算や人材が限られている以上選択と集中が必要です。

設計時には最低限の箇所でシステム全体や機器が繋がる相手に不利益を及ぼさない設計が重要です。また、不特定の相手と繋げられても安全が確保できるよう設計検証や評価を行う必要があります。

構築・接続：ネットワーク上での対策を考える

IoTを活用するには、万一の場合に問題点を確かめるログが重要になります。IoT機器は、ただ使うだけでなくいつもどのような状態になっているかを把握し、記録する仕組みが必要です。必要に応じネットワーク接続や認証機能の導入なども検討しましょう。

運用・保守：安全安心な状態を維持し、情報発信・共有を行う

IoT機器は長期間安全に利用することが重要です。維持管理はもちろん、都度変わるサーバー攻撃の手法へ対応IoT リスクを把握し、関係者や一般利用者に知ってもらいたいことを知らせる必要があります。

また、IoTシステムやサービスと関係者がどう関わるのか役割を明確化すること、脆弱な機器を把握して適切に注意喚起することも重要です。

IoTの利用を拡大するために検討すべきこと

IoT機器を設計する場合や、IoT機器を販売またはIoT機器を利用したサービスを展開する場合は、企画・設計段階から情報セキュリティを確保する「セキュリティ・バイ・デザイン」の考え方が重要です。例えば、以下のような項目を検討しておきましょう。

・適切なデータの管理方法の構築

・IoT機器の情報セキュリティ対策と運用

・IoT機器の活用シーンを想定したリスク分析

・万一サイバー攻撃などで被害を受けた場合の法的責任分担

IoTの活用は安全対策との両立が重要

IoTがさまざまな分野で展開されて、デジタルマーケティングが加速するほど情報セキュリティ対策が欠かせないものになります。ネットワークに接続されたデバイスのセキュリティが不十分な場合、不正アクセスや通信データの盗聴や改ざん、サービスの妨害などサイバー攻撃を受けるリスクも拡大するのです。IoT機器を使った商品やサービスの企画・開発・運用時にはIoTのリスクを検討した対策を行いましょう。

文：xDX編集部　画像提供：Getty images