ITmedia NEWS > 社会とIT >
ニュース
» 2018年03月13日 07時00分 公開

つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケITの過去から紡ぐIoTセキュリティ(2/3 ページ)

[高橋睦美,ITmedia]

 「ポート」は、簡単に言えば、Webやメールといったネットワーク越しに利用できるさまざまなサービスを識別するための番号です。ポートを開けているというのは、扉や窓を開け放っているようなもの。外出時には戸締まりをし、時にシャッターを下ろすのと同じように、不必要なポートは外部から接続できないよう閉じておくことは、ネットワークセキュリティの最も基本的なポイントです。その上で、一定の長さを持ったパスワード、あるいはもっと強固な手段で認証を実施し、正当な利用者しか開けた窓から入れないよう鍵を掛けます。

 一方攻撃者は、無作為に家を選んで扉や窓をノックし、戸締まりの甘いところがないかを探します。これが先ほど述べたポートスキャンです。もし鍵(=認証など)がなかったり、あるいは簡単に開けそうな鍵だったらそのまま侵入を試みます。そして情報を抜き出したり、ターゲットに存在する脆弱性を悪用したりして、被害を広げていきます。

 従って、Webなど外部とのやりとりのためにどうしても使わざるを得ないポート、管理の必要上どうしても空けておく必要のあるポートを除いて、外部からは利用できないようアクセス制限を実施する(時には、特定のIPアドレスからしか接続を受け付けないよう制限する)のが、ネットワークセキュリティ対策の第一歩です。

 この鉄則、企業ネットワークなどではかなり徹底してきました。というのも、過去に「SQL Slammer」などのいくつか苦い経験があったからです。またセキュリティ関連機関が、「脆弱性を修正しないままインターネットに接続したPCは、わずか4分程度でマルウェアに感染する」といった情報を公開し、修正パッチの適用と、ルーター/ファイアウォールによるアクセス制御の実施を呼び掛けてきたことから、家庭で使うPCについても対策が必要だという意識は浸透しつつあるようです

 これに対し、今急速に増加しているネットワーク接続機能を備えた組み込み機器、IoT機器は、見た目がPCとは違っていることもあってか、アクセス制御をはじめとする対策の必要性があまり意識されていないように思います。

 機器の安全を保つには、メーカーとユーザー、間をつなぐ通信事業者それぞれの取り組みが必要ですが、責任の境界線が曖昧なことも一因かもしれません。しかも機器によっては、ユーザーがアクセス制御の設定を行える手段が用意されていないことも指摘されています。メーカーなりに、「ユーザーにあまり難しい操作をさせたくない」と考えて、設定画面を省いたり、あるいはメーカーだけが利用できる隠し管理機能を用意したのかもしれませんが、つながる世界においてそれはリスクを招きかねません。

アクセス制御の必要性、分かっていても徹底できない理由は?

 さて、ここまで言うならば、ITの世界ではポート制御によるアクセス制御がさぞかし確実に行われているかというと、残念ながらそうではありません。大部分のシステムやPC、機器はファイアウォールやネットワークアドレス変換(NAT)の背後にありますが、何事にも例外はあります。同じような過ちは過去20数年に渡って繰り返されてきました。

Copyright © ITmedia, Inc. All Rights Reserved.