ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月14日 07時00分 公開

政府のIoT機器調査、無差別の「力業」に踏み切った背景はITの過去から紡ぐIoTセキュリティ(3/4 ページ)

[高橋睦美,ITmedia]

 PCの場合は「常に最新のアップデートを適用する」「安易なパスワードは設定しない」といった基本的なセキュリティ対策を認識し、実施する人が増えてきました。OSが搭載するセキュリティ機能や対策ソフトを活用すれば、ある程度攻撃を防ぐことも可能です。

 しかしIoT機器の場合、リソースの制約から対策が難しい上、こうした記事を積極的に読まない普通の人々にとっては「家電の延長」といった意識が強く、「セキュリティ対策を実施すべき対象」と見なされていないケースが多いのが実情です。今回のNOTICEに関する報道によって多少は危機感が伝わったかもしれませんが、それ以上に機器の絶対数の方が多く、インターネットにつないでいることすら忘れられている機器も少なくないでしょう。

 しかも人間、自分に直接害が及ばない脅威については対策のスピードも鈍りがちです。仮にMiraiがランサムウェアのようにデータを暗号化し、利用できなくしてしまうマルウェアだったら、NOTICEのような取り組みがなくても対策が進んでいたかもしれません。けれど、手元の機器が感染した結果被害を受けるのが第三者、それも例えば海の向こうの事業者――となれば、なかなかすぐには手を打とうとはならないのではないでしょうか(PCのbot対策の場合も、「なぜ私がどこかの誰かのために対策しなければならないのか」を納得してもらうまでに時間がかかったと聞きます)。

 その上、IoT機器の場合、分かりやすい管理インタフェースやアップデート機構が備わっているものばかりではありません。後述するように、古い機器の場合はそもそものパスワード変更すらできない仕様になっていることもあります。対策の必要性を感じても、実行が難しい場合があるのです。

 ならばメーカー側に対策を求めるのがスジ、という声もあるでしょう。その通りですし、メーカー側もこの1〜2年、設定や脆弱性対応に留意して機器を開発するようになってきました。

 ただ、世の中に出回っているのは、こうしたセキュリティリスクが認識されてから出荷された新しい機器ばかりではありません。数年前に開発された古い機器もまた多数インターネットにつながっており、メーカーですら利用実態が分からないのが実情です。ユーザーの心情からいっても、壊れたわけでもない限り、機器は使い続けるものですよね。そんな、古いけれど現役の機器も含めて対策しなければ根本的な解決には至りません。これらへの対処や意識醸成も含めると、まさに、数年単位で取り組む必要があるといえるでしょう。

脅威は目の前に、いつ対策するかというと、今でしょ?

 IoT機器のセキュリティ対策が難しいのはこうした背景があるからです。だからといって、対策をしないわけにはいきません。IoT機器に対する脅威が現に存在しているからです。

Copyright © ITmedia, Inc. All Rights Reserved.