　しかしIoT機器の場合、リソースの制約から対策が難しい上、こうした記事を積極的に読まない普通の人々にとっては「家電の延長」といった意識が強く、「セキュリティ対策を実施すべき対象」と見なされていないケースが多いのが実情です。今回のNOTICEに関する報道によって多少は危機感が伝わったかもしれませんが、それ以上に機器の絶対数の方が多く、インターネットにつないでいることすら忘れられている機器も少なくないでしょう。

　しかも人間、自分に直接害が及ばない脅威については対策のスピードも鈍りがちです。仮にMiraiがランサムウェアのようにデータを暗号化し、利用できなくしてしまうマルウェアだったら、NOTICEのような取り組みがなくても対策が進んでいたかもしれません。けれど、手元の機器が感染した結果被害を受けるのが第三者、それも例えば海の向こうの事業者――となれば、なかなかすぐには手を打とうとはならないのではないでしょうか（PCのbot対策の場合も、「なぜ私がどこかの誰かのために対策しなければならないのか」を納得してもらうまでに時間がかかったと聞きます）。

　その上、IoT機器の場合、分かりやすい管理インタフェースやアップデート機構が備わっているものばかりではありません。後述するように、古い機器の場合はそもそものパスワード変更すらできない仕様になっていることもあります。対策の必要性を感じても、実行が難しい場合があるのです。

　ならばメーカー側に対策を求めるのがスジ、という声もあるでしょう。その通りですし、メーカー側もこの1～2年、設定や脆弱性対応に留意して機器を開発するようになってきました。

　ただ、世の中に出回っているのは、こうしたセキュリティリスクが認識されてから出荷された新しい機器ばかりではありません。数年前に開発された古い機器もまた多数インターネットにつながっており、メーカーですら利用実態が分からないのが実情です。ユーザーの心情からいっても、壊れたわけでもない限り、機器は使い続けるものですよね。そんな、古いけれど現役の機器も含めて対策しなければ根本的な解決には至りません。これらへの対処や意識醸成も含めると、まさに、数年単位で取り組む必要があるといえるでしょう。