第36回 IoT機器のセキュリティ対策はだれがやる？：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

利用者には難しいIoTセキュリティ対策

　しかし、この状況を機器の利用者が解決することは非常に難しい。これらの機器のセキュリティ設定は、直接コマンド入力などをすれば可能だ。しかし設定はできるが、そもそもメーカーはそのような操作が行われないことを想定しており、マニュアルにほとんど記載していない。ネットワークの知識がない一般の利用者が機器をPCなどにつなげ、コマンドを打ちながら設定を変更するという操作は非常に難易度が高い。

　利用者はもちろん、その製品を開発したメーカー側も、その機器がサイバー攻撃に狙われる可能性をほとんど想定していないのだ。ユーザーは必要だからと、「かんたんマニュアル」のようなものを見ながらルータや監視カメラ、TV録画用のHDDを設定し、偶然にもその過程で機器がインターネットにつながってしまっているに過ぎない。

　つまり、開発者と利用者の双方がインターネットにつながっている機器の状況に油断している。この状況を抜け目なく攻撃者が利用しているというのが、コンシューマー向けIoT機器の現状だ。

「コンシューマ向けIoTセキュリティガイド」とは？

　JNSAは、この状況をなんとか解消するために、IoTセキュリティワーキンググループにおいて「コンシューマ向けIoTセキュリティガイド」を作成し、2016年6月24日に公開した。しかし、このガイドではユーザーがIoT機器をセキュアに設定すべきだということは全くいっていない。むしろ開発者に向けて、製品の出荷時点でセキュアな設定を実施されているように、そのリスクと具体的な対策を示しているのだ。

　ただし、開発者向けとはいっても情報セキュリティ対策やIT全般に詳しい人というわけでなく、あくまでハードウェアを開発している技術者である。そのため概念図や構成図を多く取り入れて、視覚的に分かりやすい構成を意識している。ガイド自体は120ページ超と大容量だが、非常に読みやすいとの声をいただく。読者のあなたがハードウェア技術者なら、ぜひご一読いただきたい。

　このガイドは以下の4章構成で、1〜2章はIoTとIoTセキュリティに関する一般論的な内容を取り上げている。

1. Internet of Things（IoT）の概要
2. IoTセキュリティの現状
3. ベンダーとしてIoTデバイスを提供する際に検討すべきこと
4. ベンダーがユーザーのIoT利用に際して考慮すべきこと

　重要なのが3〜4章であり、このガイドの一番のポイントが3章で記された「脅威の一覧表」にある。一覧表は、情報処理推進機構（IPA）が発行した「自動車の情報セキュリティへの取組みガイド」（参考資料PDF）にある12種類の脅威がもとになっている。この12種類の脅威から、IoT機器の5つのライフサイクルごとにそのフェーズで何をすべきかをマッピングした（図1参照）。IoT機器を設定する際のセキュリティ対策だけではなく、その機器が廃棄されるまで期間の全ての脅威と対策を明示し、一覧化した（図2参照）。

図1：IPAの定義した12種類の脅威とライフサイクル

図2：一覧表のサンプル

　前述のようにコンシューマー向けIoT機器のセキュリティ対策をユーザー任せにすることは、現実的ではない。そのため、このガイドはIoT機器の開発者に機器の販売から廃棄までのライフサイクル全体をカバーするためのセキュリティ意識を持ってもらうというのが一番の目的だ。