検索
ニュース

コンシューマー向けIoTセキュリティはビジネスチャンスComputer Weekly

コンシューマー向けIoTデバイスの悪用が問題になっている。IoTデバイスのデータが犯罪者に漏れると何が起きるのか? この状況はベンダーにとってチャンスでもある。

Share
Tweet
LINE
Hatena
Computer Weekly

 大量のDDoS攻撃が世界中で発生しているが、最近はネットワークトラフィックを生成するbotネットの一部にコンシューマー向けのIPカメラが利用されている。

Computer Weekly日本語版 1月11日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 1月11日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 ホームセキュリティや自然観察などにIPカメラを利用するケースが爆発的に増えている。これは、何百万台ものカメラがホームネットワークに接続され、「コンシューマー」IoTの一端を担っていることを意味する。多くのIPカメラは何らかのバージョンのLinuxを搭載している。当然ながら、OSへのアクセスを許せばそのカメラでさまざまなことが可能になる。

 問題は、こうしたIPカメラの多くがデフォルトの管理者名とパスワードを使っていることだ。インターネットを少し検索すれば、誰でもこの情報を入手できる。IPアドレスにポートスキャンを実行して、検出したオープンポートにHTTPクライアントとして接続を試みる。適切な画面が表示されたら、デフォルトの情報を入力すれば完了だ。コンシューマーIPカメラの大部分が、悪意に利用される可能性がある。

 30ポンド程度のローエンドデバイスに、コストを掛けてセキュリティを強化する余地はほとんどない。ただ、デフォルトのパスワードの変更をユーザーに求めるのにお金は掛からない。コンシューマーIoTデバイスのベンダーは、すべからくパスワードの変更を奨励すべきだ。

 だが、問題はIPカメラにとどまらない。コンシューマー向けのゲートウェイやルーターの多くも、デフォルトの管理者名とパスワードを設定していて、そのほとんどにインターネットからリモートアクセスできる。

 さらに「エネルギーコントロール」「スマートキッチンデバイス」「コネクテッドテレビやAVシステム」「スマートウォッチなどのウェアラブル端末」の存在が意味することは、さまざまなデータ送受信機能を有するさまざまな組み込みOSが混在するということだ。コンシューマーだけでIoT環境全体を保護するのは無理がある。

 コンシューマーIoTネットワークの適切な運用方法は、家庭内に集中管理型のIoTハブを設けることだ。このIoTハブは、双方向コントローラーとしてIoTデバイスがインターネットと直接通信するのを防ぎつつ、外界とコンシューマーIoT間の全てのやりとりを確実に制御できるようにする。

 ただし、ハブの設計と設定が不適切であれば結局問題が生じることになる。例えば、ハブが不正アクセスされたとしよう。ハブに侵入した犯人は、被害者のIoTネットワーク内の全デバイスに自由にアクセスできる。この無秩序状態によって、被害者のみならずインターネット全体にも多大なる被害が及ぶ。これらのデバイスがbotネットの一端を担う可能性があるからだ。

 またコンシューマーIoTネットワークのデータも、悪意のある人間には金脈となり得る。

 さまざまなデータストリームを広範囲に取得、分析できれば、パターンを素早く導き出すことができる。例えば、電気が午前9時から午後4時まで消え、この時間帯の室温が15度まで下がるとすれば、この間は室内に誰もいないということが分かる。この時間帯に防犯装置が断続的に検出する動きは敷地内の犬か猫によるもので、決まった日の決まった時間帯に検出される動きは家政婦によるものであるという具合に推測できる。

 これは、空き巣狙いが敷地周辺の活動全体を最小限の労力で把握する非常に優れた方法になる。だが、全く異なるデータ群から全体像を導き出せるとはいえ、手間が掛かる。それに、警察がよくいうように、よほど的を絞っていない限り、空き巣狙いは日和見的で、難しい選択肢と簡単な選択肢があるとすれば基本的に後者を選ぶ。

 従って、家庭用のIoTハブにも企業並みのセキュリティが必要だ。データストリームは、あたかも軍事データのようにセキュリティを確保する必要がある。保存されているデータや転送中のデータの暗号化は不可欠だ。ハブとやりとりするクライアントダッシュボードは、HTTPSやSSLなどの安全な経路を取らなければならない。ハブは、IoTデータストリームを正規化し、専用の安全なダッシュボードに表示して使用できるようにする必要がある。各IoTデバイスで提供されている、コンシューマー向けの低品質なアクセス手段(通常、シンプルなチャレンジレスポンスセキュリティによる直接HTTP接続)を使うのは避けなければならない。

 これが意味するのは、コンシューマー市場に訪れる巨大なチャンスだ。全てのデバイスを1社から導入させようとオールインワンIoTシステムを展開するベンダーは苦戦するだろう。コンシューマーは気まぐれだ。空調管理システムはNest LabsやHiveなど、スマートTVはSony、Panasonic、LGなどから選べる。コネクテッドAVシステムのメーカーとしてはSonyやPioneer、Onkyoなどがあるし、新型の中央システムには「Amazon Alexa」を使うかもしれない。しかも、スマート照明制御システム、コネクテッド白物家電、スマートメーターなど、IoTデバイスの種類は増える一方だ。これらを全て1社のベンダーがカバーすることはできない。

 そこで必要になるのが、高度なインテリジェントを持つハブだ。だが、それにはIoTを適切に運用するコストが必要になる。まず「IoTデバイス全体をカバーすること」そして「さまざまなデータストリームを正規化して、安全なクライアントがインテリジェントに分析して操作できるデータにすること」は当然として、「暗号化」「侵入検知」「ユーザーにウィザード実行を強制して、多要素リモートアクセスなどによる強力なセキュリティを設定させること」を、必要最低限の条件にすべきだ。また、IoTハブの非常に効果的な宣伝文句として使えるのは「乗っ取られた疑いが少しでもあればハブ自体を簡単かつ効果的にブロックできること」と「安全なモードで稼働状態に戻すのをサポートするカスタマーサービス」だ。

 IoTハブにこのような投資をしたとしても、ローエンドのPCと同じ、またはそれ以下の価格(200ポンド以下)で販売することが可能だ。

 こうしたインテリジェントハブがまさに今必要とされている。コンシューマーが使用するサイトへのDDoS攻撃は、市場に適切かつ効果的な対応を促す前兆となるだろう。

別冊Computer Weekly 「ムーアの法則」は死なず── 期待の半導体イノベーション(転載フリー版)も公開中!

限界説が定期的に出てくる「ムーアの法則」だが、まだまだ有効性は続くようだ。半導体分野で生まれた新たなイノベーションによって、PCやスマートデバイスが大きく進化する可能性が見えてきた。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る