第36回 IoT機器のセキュリティ対策はだれがやる?:日本型セキュリティの現実と理想(3/3 ページ)
IoTのセキュリティ対策の中でコンシューマー機器は急を要するが、対策は簡単には進まない。JNSAの「コンシューマ向けIoTセキュリティガイド」にある対策の担い手や視点から、コンシューマーIoT機器におけるセキュリティの方向性を解説する。
そして、このガイドの最後には下記の3項目をIoT機器の開発者への向けたメッセージとして記載している。
- デフォルト設計をセキュアに!
- 問題発生を想定する
- 廃棄まで責任をもつ
この3項目を実施するために高度なセキュリティ対策の知識は必要なく、多額のコストや投資も伴わない。要は、問題が発生することを想定し、そのために製品出荷時の設定をある程度のセキュリティレベルに高めておく。機器が廃棄されるまでのライフサイクルを意識してほしいというだけだ。
実はこのようなことをハードウェアの製造元ならばどこでもやっていることだ。それは機器の品質管理であり、機器故障などへの対策や品質の向上というような“ものづくりの基本”を、サイバー攻撃への対策に当てはめ直しただけに過ぎない。
なぜ、こんな単純なことでセキュリティが保たれるかというと、攻撃者にとってコンシューマー向けIoT機器は低リスクで効率の良いターゲットではあるものの、攻略したからといって大きな利益を得られるものではないからだ。攻略に一定の手間がかかるなら、わざわざそれを狙う理由がなくなる。そうなると、攻撃者はより効率の良い別のターゲットを探すこととなる。
しかし、それでもコンシューマー向けIoT機器の問題を提起してセキュリティ対策を周知しなければならないのは、世の中に存在するコンシューマー向け機器の数があまりにも膨大だからだ。一つひとつの対策は簡単でも、それを全てに徹底させることは難しい。だからこそ、出荷時から廃棄までを想定した最低限のセキュリティ対策を実施することが重要なのだ。
企業などがターゲットになる標的型攻撃(APT攻撃)では、攻撃者は強固な防御が施されたネットワークゲートウェイなどを狙わずに、あえて本来の目的とは異なる脆弱なクライアントPCなどを狙う。そこから侵入して、目的の情報にネットワーク内部からたどり着く。これは外部から攻撃を仕掛けるより、内部からの方が効率よく仕掛けられるためだ。
この図式はIoT機器にも当てはまる。標的自体にそれほど価値が無くても、ネットワーク内部に侵入するなら脆弱な部分を狙う。だから、攻撃されても失うものがそれほど多くはないコンシューマー向けIoT機器であっても、その開発者はそれを軽視せずに機器のライフサイクル全体を考えた対策を実施してほしい。これがJNSAのIoTセキュリティワーキンググループがこのガイドに込めたメッセージである。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
- 第34回 IoTセキュリティが日本の国家戦略の要になる理由
IoTは現実世界の生活を大きく変革するものであり、日本は国家戦略の要として推進しようとしている。今回は、その国家戦略や団体の動きから、IoTの推進とセキュリティ全体の現状を紹介してみたい。 - 第33回 ハニーポットが示した「野良IoT」の脅威
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。 - 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.