広がる IoT デバイスの利用とリスク

企業は DX というお題目のもとデータを利活用するため、以前は組込み機器と言われていたデバイスをネットに接続し、IoT 機器の利用が急増しています。自動車業界では車載機器が接続されるようになってきたり、工場環境ではスマートファクトリーということで、工場の稼働状況を可視化し生産の効率化を図ったり、家庭では家電が繋がり利用者にとって多くの便益をもたらそうとしています。

こういった便利さの裏側にはリスクも存在し、IoT 機器がサイバー攻撃の標的にされることが増えてきています。NICT の統計では、攻撃に使われたパケットの約半数は IoT 機器を狙ったものですし、IoT 機器関連の攻撃件数は 3 年間で 4 倍近く増加していることを示しています。

なぜこれだけ IoT 機器は狙われるのか。理由は、攻撃者が容易に IoT 機器を侵害できるからです。組込み機器だったことからそもそもネットワーク接続を前提としていなかったので、製品設計にセキュリティの観点が抜けています。また PC やサーバーと違い、IoT 機器は画面がない、管理者がいないため、そもそも攻撃されても気づきにくい点も挙げられます。

2016 年に猛威を振るった MIRAI が、IoT 機器をターゲットとした攻撃としては著名です。監視カメラ、WiFi ルーター、家電などネットに接続されている機器にボットを仕込み、あるタイミングで攻撃者が一斉にそれら感染機器に攻撃指令を発すると、攻撃者が指定した特定のサーバーなどに大量のパケットを投げサーバーをダウンさせてしまう攻撃ですが、5 年経った現在でも MIRAI の亜種が増殖し続け被害が拡大しています。これにより、自社で開発した機器が攻撃に意図せず加担してしまうというリスクを負ってしまうことになります。

このように増加するリスクに対して、国内外の関係機関が IoT 機器のセキュア化に向け、ガイドラインを制定するなど、動き始めています。国内では、経済産業省が Cyber Physical Security Framework (CPSF) の中で、IoT 機器の会社間の調達要件やソフトウェア開発にあたってのセキュリティ対策のポイントがガイドラインとして公表されていています。

企業として対策すべきポイントとは？

IoT 機器を開発する企業と、利用する企業に分けて考えると分かりやすいと思います。開発企業は開発の過程において OSS を利用することが一般的ですが、その OSS に脆弱性が含まれていないか一つ一つ確認し必要に応じて修正していくことが必要です。また、設定の問題点、例えば、過剰な権限を与えてしまっていないかなど、攻撃されやすい設定になっていないか、これも精査し、修正していく必要があります。これらの脆弱性は時に膨大な数になるため、修正にあたっては深刻度や影響度に応じた優先順位付けを事前に行うことが必要です。
更にいえば、IoT 機器関連の世の中のガイドライン、車載業界であれば WP29 などのガイドラインに自社の製品がしっかりと準拠しているかも確認する必要があります。このような多様な検査項目を人力で確認していくことは、労力がかかるばかりか専門知識も必要になり、また抜け漏れも発生しかねません。

IoT 機器の脆弱性対策についてこのような課題をお持ちのかたは、サイバートラストにご相談ください。