第33回 ハニーポットが示した「野良IoT」の脅威：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

「IoTセキュリティ」とあおりすぎ？

　ここまで見てきたように、IoTに対する脅威はすぐそこに迫っているようだが、幸いなことに、現時点ではサイバー攻撃が深刻な危機となる可能性は、まだそれほど大きくはない。

　なぜなら、重要インフラを制御する仕組みは、それほど簡単に乗っ取れないからだ。そもそも特殊で強固なシステム構造をしていることから、非常に希少なノウハウに精通していないと動かすことはできない。少なくとも、遠隔地から内部構造を知らない攻撃者が自由自在に動かせるような脆弱性のある仕組みにはなっていないはずだ。

　先に挙げた横浜国立大学の研究結果は、IoT機器のセキュリティ対策が不十分なことによって、核施設や大規模プラントなどの重要インフラがすぐに乗っ取られてしまうということを意味しているわけではない。このようなリスクは、例えば、人工知能（AI）による施設の自動運用のような仕組みが実現した将来には現実のものになるかもしれないが、はるか未来の話だろう。その頃には、リスクを乗り越える術とセキュリティ対策を組み合わせた実装方法が十分に検討され、実現されているはずだ。ただし、それが実現されなかった場合の脅威は、現在のそれとは比較にならない。

ハニーポットの示した「IoTが晒されている脅威」

　IoTへのサイバー攻撃は、現時点ではそれほど恐ろしいものではない。その要因は、攻撃者とって目に見えるメリットがまだ少ないことだ。しかし、攻撃者がITシステムからの窃取した情報で金銭を得ることよりもIoTがもうかるとなれば、話は変わる。一気にターゲットをIoTへシフトさせるはずだ。だから、今すぐに大きな脅威にはならないからといって、油断していい理由にはならない。

　横浜国立大学の研究は、このことを現時点で最も分かりやすく可視化してくれたのだ。放置されている機器は、それ1台では攻撃者にとってそれほど価値はないが、その機器の数が一定規模になると状況は大きく変わる。攻撃者が大量の機器から一カ所へ通信を集中させるだけで大規模なDDoS（分散型サービス妨害）攻撃になり得るからだ。さらに今後、IoTが本格的に普及すれば、それ以上の想定外の事件や事故が起こる可能性がますます拡大していくことも十分に予想できる。これからも現状の攻撃を定点観測していく重要性が増すだろう。

　今回はIoTによる社会が実現された時のリスクとそのセキュリティ対策の重要性について述べた。次回は、2016年春頃から公益団体などが相次いで公開し始めたIoTセキュリティに関する「ガイドライン」「手引き」「指針」「ガイダンス」などの資料を紹介しつつ、この分野のセキュリティをどのように考えていけばよいかを示していきたい。

筆者からのお知らせ

2016年10月26日開催の日本ネットワークセキュリティ協会（JNSA）主催セミナーでは、本稿で紹介した研究を手掛ける横浜国立大学の吉岡克成准教授が基調講演に登壇され、研究の詳細をご紹介する。この講演を聴いていただければ現在のIoTの脅威の現状をより深く理解できるだろう。筆者も講演（およびパネルディスカッションのモデレーター）する予定だ。

• 「IoTセキュリティセミナー　〜IoTの未来とセキュリティの課題〜」

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）