English

お問い合わせ

BLOG

総務省が取り組む「IoT セキュリティ総合対策」

IoT 機器の安全性を守る国家戦略

重要性を増す IoT 機器のセキュリティ確保

総務省の政策統括官(情報セキュリティ担当) 谷脇 康彦氏は内閣官房に設置された NISC (内閣サイバーセキュリティセンター)で、サイバーセキュリティの確保に取り組んできました。2015 年 1 月に施行されたサイバーセキュリティ基本法の立案にも関与し、2015 年 6 月に発生した日本年金機構への攻撃事案を受けて、2016 年の改正基本法の施行にも深く関わってきました。そして、「2017 年の戦略中間レビューにおいて、1 年以内に対策を加速または強化するべき項目として、以下の 3 点が取りまとめられました」と谷脇氏は話します。

  • 2020年に向けた体制整備
  • 情報共有・連携ネットワーク(仮称)の構築・運用
  • ボット撲滅の推進

この 3 項目の中で、「ボット撲滅の推進」に向けて、サイバーセキュリティ タスクフォースとして取り組んできた「IoT セキュリティへの本格的な対策」を統合して、「IoT セキュリティ総合対策」が整備されました。
「IoT セキュリティ総合対策」が発表された背景について、谷脇氏は「IoT 機器の幾何級数的な増加に伴って、IoT 機器を狙った攻撃が急増しています。2015 年から 2016 年の 1 年間に発生したサイバー攻撃の数は、2.4 倍と増加していますが、その中で全攻撃の 64 %が、Web カメラやルータなどの IoT 機器を狙ったものでした」と説明します。

IoT 機器への攻撃は、単に Web カメラなどを不正に操作するだけではなく、乗っ取った IoT 機器を踏み台とした大規模な DDoS(分散型サービス拒否)攻撃へと被害を拡大させます。その被害の一例が「2016 年 10 月 21 日に発生した米国の Dyn 社の DNS サーバーに対する大規模な DDoS 攻撃でした。2 回に及ぶサイバー攻撃により、Dyn 社を利用していた企業のサービスにアクセスしにくくなる、という障害が発生したのです」と谷脇氏は解説します。

この事件では、Dyn 社を利用していた「Twitter」や「Spotify」に「Reddit」などのサービスが被害を受けています。Dyn 社を攻撃した IoT 機器は、「Mirai」というマルウェアに感染していました。このような脆弱な IoT 機器は、世界中に数多く存在しています。そして、2016 年の時点で約 173 億個のIoT 機器は、2021 年までに 349 億個まで急増すると予測されています。そのうち約 4 割が、消費者向けの製品として市場に流通されるのです。こうした状況を踏まえて、総務省では「IoT セキュリティ総合対策」を策定し、5 つの取り組みを推進していきます。

  • 脆弱性対策に係る体制の整備
  • 研究開発の推進
  • 民間企業等におけるセキュリティ対策の促進
  • 人材育成の強化
  • 国際連携の推進

日本のモノづくりにも求められる IoT 機器のライフサイクル管理

Web カメラやルータなどの IT 機器だけではなく、あらゆるモノがインターネットにつながる IoT(モノのインターネット)化の波は、家庭電化製品や自動車にウェアラブル機器など、身近な生活商品にも浸透していきます。それは日本のモノづくりにも大きな影響を与えます。総務省の「IoT セキュリティ総合対策」でも、脆弱性対策に係る体制の整備で 2 つの重要な対策を提唱しています。その 1 つが、脆弱性対策に係る体制の整備(ライフサイクル全体を見通した対策)です。

この対策では、製品の設計や製造段階から「セキュリティ・バイ・デザイン」などの意識啓発と支援を実施していきます。「セキュリティ・バイ・デザインの考え方を踏まえ設計された機器に認証マークを付与し、当該認証マークの付された機器の使用を推奨することなどについて検討を行い、意識啓発・支援を実施します」と谷脇氏は具体的な取り組みについて触れます。

「IoT 機器は、10 年やそれ以上の期間にわたって利用されます。それだけに、ユーザーがいかに安心してセキュアな IoT 機器を購入し設置して運用し、安全に破棄できるかを考えていかなければなりません。今後さらに、リアル社会とサイバー空間が一体となる状況が進んでいけば、サイバー空間のルール作りが重要になります。そして、IoT 機器を取り巻くセキュリティ環境は、より一層深刻になっていきます。IoT 時代における我が国のサイバーセキュリティを確保し、我が国の経済社会の活力の向上や持続的発展に寄与するため、新たな脅威にも対応したセキュリティ対策が求められているのです」と谷脇氏は訴えます。

※ 本記事は 2017 年 11 月 22 日に行われた Softbank Technology Forum 2017 での講演を記事化したものです。