第36回 IoT機器のセキュリティ対策はだれがやる?:日本型セキュリティの現実と理想(2/3 ページ)
IoTのセキュリティ対策の中でコンシューマー機器は急を要するが、対策は簡単には進まない。JNSAの「コンシューマ向けIoTセキュリティガイド」にある対策の担い手や視点から、コンシューマーIoT機器におけるセキュリティの方向性を解説する。
利用者には難しいIoTセキュリティ対策
しかし、この状況を機器の利用者が解決することは非常に難しい。これらの機器のセキュリティ設定は、直接コマンド入力などをすれば可能だ。しかし設定はできるが、そもそもメーカーはそのような操作が行われないことを想定しており、マニュアルにほとんど記載していない。ネットワークの知識がない一般の利用者が機器をPCなどにつなげ、コマンドを打ちながら設定を変更するという操作は非常に難易度が高い。
利用者はもちろん、その製品を開発したメーカー側も、その機器がサイバー攻撃に狙われる可能性をほとんど想定していないのだ。ユーザーは必要だからと、「かんたんマニュアル」のようなものを見ながらルータや監視カメラ、TV録画用のHDDを設定し、偶然にもその過程で機器がインターネットにつながってしまっているに過ぎない。
つまり、開発者と利用者の双方がインターネットにつながっている機器の状況に油断している。この状況を抜け目なく攻撃者が利用しているというのが、コンシューマー向けIoT機器の現状だ。
「コンシューマ向けIoTセキュリティガイド」とは?
JNSAは、この状況をなんとか解消するために、IoTセキュリティワーキンググループにおいて「コンシューマ向けIoTセキュリティガイド」を作成し、2016年6月24日に公開した。しかし、このガイドではユーザーがIoT機器をセキュアに設定すべきだということは全くいっていない。むしろ開発者に向けて、製品の出荷時点でセキュアな設定を実施されているように、そのリスクと具体的な対策を示しているのだ。
ただし、開発者向けとはいっても情報セキュリティ対策やIT全般に詳しい人というわけでなく、あくまでハードウェアを開発している技術者である。そのため概念図や構成図を多く取り入れて、視覚的に分かりやすい構成を意識している。ガイド自体は120ページ超と大容量だが、非常に読みやすいとの声をいただく。読者のあなたがハードウェア技術者なら、ぜひご一読いただきたい。
このガイドは以下の4章構成で、1〜2章はIoTとIoTセキュリティに関する一般論的な内容を取り上げている。
- Internet of Things(IoT)の概要
- IoTセキュリティの現状
- ベンダーとしてIoTデバイスを提供する際に検討すべきこと
- ベンダーがユーザーのIoT利用に際して考慮すべきこと
重要なのが3〜4章であり、このガイドの一番のポイントが3章で記された「脅威の一覧表」にある。一覧表は、情報処理推進機構(IPA)が発行した「自動車の情報セキュリティへの取組みガイド」(参考資料PDF)にある12種類の脅威がもとになっている。この12種類の脅威から、IoT機器の5つのライフサイクルごとにそのフェーズで何をすべきかをマッピングした(図1参照)。IoT機器を設定する際のセキュリティ対策だけではなく、その機器が廃棄されるまで期間の全ての脅威と対策を明示し、一覧化した(図2参照)。
前述のようにコンシューマー向けIoT機器のセキュリティ対策をユーザー任せにすることは、現実的ではない。そのため、このガイドはIoT機器の開発者に機器の販売から廃棄までのライフサイクル全体をカバーするためのセキュリティ意識を持ってもらうというのが一番の目的だ。
関連記事
- 第34回 IoTセキュリティが日本の国家戦略の要になる理由
IoTは現実世界の生活を大きく変革するものであり、日本は国家戦略の要として推進しようとしている。今回は、その国家戦略や団体の動きから、IoTの推進とセキュリティ全体の現状を紹介してみたい。 - 第33回 ハニーポットが示した「野良IoT」の脅威
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。 - 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。
Copyright © ITmedia, Inc. All Rights Reserved.