第36回 IoT機器のセキュリティ対策はだれがやる?:日本型セキュリティの現実と理想(1/3 ページ)
IoTのセキュリティ対策の中でコンシューマー機器は急を要するが、対策は簡単には進まない。JNSAの「コンシューマ向けIoTセキュリティガイド」にある対策の担い手や視点から、コンシューマーIoT機器におけるセキュリティの方向性を解説する。
「コンシューマ向けIoT機器」を注意すべき理由
日本には、情報セキュリティの注意喚起や対策の普及を目指す組織が複数ある。筆者は、その1つの日本ネットワークセキュリティ協会(JNSA)という情報セキュリティ団体に参加している。JNSAは180社以上の会員企業で構成され、セキュリティ対策を事業としている企業で構成されたセキュリティ団体だ。
なおJNSAは、その名の通りネットワークセキュリティを守る団体だが、ネットワークだけを守ってもセキュリティを高めるのは難しい時代となり、現在は情報セキュリティ全般に拡大している。JNSAがIoTセキュリティについて初めて言及した成果物が前回の記事で取り上げた「コンシューマ向けIoTセキュリティガイド」だ。ここではIoT機器の中で「コンシューマ向けIoT」の機器が最も危ないという問題提起と、脅威の分析を交えてその解決に必要なものを記載している。今回は筆者の所属するJNSAの観点からIoTのセキュリティを述べたい。
JNSAは、このガイドの作成に約2年間を費やした。IoTの対象は非常に広範囲であることが原因だ。JNSAの視点から守るべき対象を選ぶ議論だけでも1年近くの時を費やした。
IoTといえば、ドローンや自動運転などがすぐに頭に浮かぶが、テレビ録画用HDDのような家電や監視カメラなどもインターネットにつながり、世界で数十億台の機器がすでに接続されているといわれる。ミッションクリティカルな領域も同様で、核施設や大規模な化学工場なども今後はIoTの範囲に入ってくるだろう。これらがサイバー攻撃などで破壊されてしまうと、その被害は災害レベルになってしまう恐れがある。
あらゆる機器がIoTの対象になり得る可能性を持っており、これだけ広範なIoTのセキュリティ対策は、いわば家庭の空き巣対策から国家レベルの危機管理対策まで含まれてしまう。全てを一つの分野として対策することは不可能であり、そのためJNSAは、コンシューマー向け機器を守ることが最も適しているという結論になった。
コンシューマ向けIoT機器の脆弱性
このガイドの目的は、まだあまり世間に認識されていないコンシューマー向け機器の現状とその危険性を知ってもらうことにある。驚くことに、コンシューマー向け機器は有名な国産メーカーなどの製品でも最低限のセキュリティ対策ができていないものがあるという。その脆弱性での代表的なものはtelnet(port23/tcp)だ。
telnetは、遠隔から機器を操作できる非常に便利な機能だが、インターネットが一般に普及する前に開発されたため、暗号化などのセキュリティ機能が実装されていない。この23番ポートはインターネット接続する場合、外部から機器にアクセスできないよう閉じるのが一般的なルールだ。しかし、telnetを使うコンシューマー向けIoT機器ではその対策がなされていない。
telnetが使う23番ポートが空いていると、外部から自由にその機器へアクセスして、コントロールできてしまう。しかも、攻撃者は不特定多数の機器へポートスキャンをかけるだけで、簡単にtelnetを使って乗っ取れる機器を探すことができる。つまり、23番ポートが空いていることは、機器を操れることに等しいのだ。もし読者の家庭の機器がこの状態にあれば、あなたは購入した機器と電力を攻撃者へプレゼントしているようなものかもしれない。攻撃者にとってこれほど都合の良い獲物は、なかなかないのだ。
関連記事
- 第34回 IoTセキュリティが日本の国家戦略の要になる理由
IoTは現実世界の生活を大きく変革するものであり、日本は国家戦略の要として推進しようとしている。今回は、その国家戦略や団体の動きから、IoTの推進とセキュリティ全体の現状を紹介してみたい。 - 第33回 ハニーポットが示した「野良IoT」の脅威
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。 - 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。
Copyright © ITmedia, Inc. All Rights Reserved.