IoTデバイスは危ない？ インターネット草創期から学んだセキュリティ対策、IoT時代に生かすためにできること：IoT時代のセキュリティ絶対防衛ライン

[林正人（デジサート・ジャパン），ITmedia]

　PCやスマートフォンがインターネットにつながったことで、普段の買い物からオンラインバンキング、情報へのアクセスなど、私たちの生活は革新的に便利になりました。あらゆるモノがネットにつながる「IoT」が本格的に普及することで、今後もさらに大きな変化が世の中にもたらされます。

　しかし、情報処理推進機構（IPA）が2018年3月に発表した調査結果では、IoTデバイスメーカーのうち、社内に統一されたセキュリティ基準を設けている企業は全体の4割にも満たないことが分かっています。つまり、このままIoTデバイスが普及すると、かつてのインターネット草創期に多発していたウイルス感染、サーバ侵害、情報漏えいといったセキュリティ問題がIoT時代にもまん延する恐れがあります。

情報処理推進機構（IPA）が2018年3月に発表した調査結果

　外出先から自宅の家電をコントロールしたり、玄関のインターフォンを鳴らした来訪者の写真をスマートフォンから確認したりなど、あなたも既にIoTの便利さを経験しているかもしれません。IoTを活用した生活密着型のサービスが増えているからこそ、セキュリティに関する意識をより一層、引き締める必要があるのです。

連載：IoT時代のセキュリティ絶対防衛ライン

　住宅、クルマ、ウェアラブルデバイス、医療、工場のオートメーションなど、あらゆるモノがインターネットにつながる「IoT：Internet of Things」時代が到来しました。生活にインターネットが密着し始めた今だからこそ、これまで以上にセキュリティに気を配る必要があります。

　この連載では、SSL／TLS証明書の電子認証局であるデジサートの専門家が、各業界が提供するIoT関連のサービスがどのような課題を抱えていて、どのような手法が対抗策として有効なのかをフラットな視点で伝えます。

ユーザーとIoT事業者、それぞれがセキュリティのためにできること

　IoTデバイスやサービスの利用者が気を付けるべきことは、使っているデバイスについてメーカーからの通知を常に確認し、必要があれば最新のセキュリティアップデートを適用しておくことが重要です。個人情報を含む、もしくは個人を特定できる通信をIoTデバイスを介して行う場合は、暗号化通信が行われていることを確認したり、特定の機器しかネットワークに接続できないように設定したりが必要です。

　一方、IoTサービスの運営者側には、収集した情報を保存するサーバに高いセキュリティレベルを適用することが求められるのは言うまでもありません。ただし各産業で使われるIoTデバイスは、システムを動かすOSの種類が多岐にわたっており、PCのWindowsやmacOSなど、統一されたプラットフォームで有効なセキュリティ対策が流用できないことという問題点も指摘されています。

　ではどのようにして対策を図ればいいのでしょうか。手っ取り早いのは、通信ポート絞ることです。IoTデバイス側と事業者側のサーバ側ともに必要な通信ポートだけを使える状態にしておくことで、セキュリティ対策としてかなり有効です（関連記事）。

　さらに、そのサーバへアクセスするIoTデバイスに「デバイス証明書」と呼ばれる電子証明書の仕組みを導入することで、メーカーが認証したデバイスのみをサーバに接続させる仕組みが整えられます。悪意を持った人が企業側のサーバにアクセスすることを困難にします。メーカー側がこれらの対策を行うことは、利用者と自身のサービスを守ることになるのです。

　他にも、IoTデバイスが不正アクセスによって悪意のあるプログラムなどを仕込まれたことを検知し、サーバへのアクセスを遮断する手法もあります。これらはインターネットの分野で以前から使われてきた実績と信頼があるものです。

　このようにIoTの世界では求められる接続機器数や、やりとりされるデータ量、そしてその機密性によりどのような対策を取るか──ベストプラクティスや実績はまだこれから積み上げていく必要があります。

　今後、この連載を通して各業界が提供するサービスがどのような課題を抱えているのか、そしてどのような手法がセキュリティを向上させるヒントになるのかをお伝えしていきます。

著者：林正人（デジサート・ジャパン）

デジサートは、ベリサイン、シマンテック・ウェブサイトセキュリティとして、SSL／TLSサーバ証明書などを販売していた会社を前身としており、それらの製品を発行する基盤（PKI=公開鍵基盤）で作られたデバイス機器向けの証明書やコードサイニング証明書を発行しています。