第36回 IoT機器のセキュリティ対策はだれがやる？：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

　そして、このガイドの最後には下記の3項目をIoT機器の開発者への向けたメッセージとして記載している。

1. デフォルト設計をセキュアに！
2. 問題発生を想定する
3. 廃棄まで責任をもつ

　この3項目を実施するために高度なセキュリティ対策の知識は必要なく、多額のコストや投資も伴わない。要は、問題が発生することを想定し、そのために製品出荷時の設定をある程度のセキュリティレベルに高めておく。機器が廃棄されるまでのライフサイクルを意識してほしいというだけだ。

　実はこのようなことをハードウェアの製造元ならばどこでもやっていることだ。それは機器の品質管理であり、機器故障などへの対策や品質の向上というような“ものづくりの基本”を、サイバー攻撃への対策に当てはめ直しただけに過ぎない。

　なぜ、こんな単純なことでセキュリティが保たれるかというと、攻撃者にとってコンシューマー向けIoT機器は低リスクで効率の良いターゲットではあるものの、攻略したからといって大きな利益を得られるものではないからだ。攻略に一定の手間がかかるなら、わざわざそれを狙う理由がなくなる。そうなると、攻撃者はより効率の良い別のターゲットを探すこととなる。

　しかし、それでもコンシューマー向けIoT機器の問題を提起してセキュリティ対策を周知しなければならないのは、世の中に存在するコンシューマー向け機器の数があまりにも膨大だからだ。一つひとつの対策は簡単でも、それを全てに徹底させることは難しい。だからこそ、出荷時から廃棄までを想定した最低限のセキュリティ対策を実施することが重要なのだ。

　企業などがターゲットになる標的型攻撃（APT攻撃）では、攻撃者は強固な防御が施されたネットワークゲートウェイなどを狙わずに、あえて本来の目的とは異なる脆弱なクライアントPCなどを狙う。そこから侵入して、目的の情報にネットワーク内部からたどり着く。これは外部から攻撃を仕掛けるより、内部からの方が効率よく仕掛けられるためだ。

　この図式はIoT機器にも当てはまる。標的自体にそれほど価値が無くても、ネットワーク内部に侵入するなら脆弱な部分を狙う。だから、攻撃されても失うものがそれほど多くはないコンシューマー向けIoT機器であっても、その開発者はそれを軽視せずに機器のライフサイクル全体を考えた対策を実施してほしい。これがJNSAのIoTセキュリティワーキンググループがこのガイドに込めたメッセージである。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）