　これはこれで、リスクをあらかじめ知って備える上では大事なのですが、「あれが危険、これも危険」といった話ばかりだと「じゃあどうしたらいいの？」と感じるのも無理はないでしょう。そこで今回は、インターネットとInternet of Things（IoT）を安全に、適切に利用する際に留意すべきポイントをまとめた2つの文書を紹介したいと思います。

連載：ITの過去から紡ぐIoTセキュリティ

　家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。

　この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

グローバルで汎用的な「OWASP IoT Top 10 2018」

OWASP IoT Top 10 2018

　1つ目のドキュメントは、2018年末に公表された「OWASP IoT Top 10 2018」です。

　OWASP（Open Web Application Security Project）は、Webをはじめとするソフトウェアのセキュリティ向上を目指して活動しているオープンなコミュニティーで、さまざまなドキュメントやツールを公開しています。日本をはじめ世界各国で200を超えるチャプター（支部）が活動しており、有志がセミナーやカンファレンスを実施してきました。日本でも「OWASP Night」が定期的に開催されています。

　中には、「OWASP Top 10」という言葉を耳にしたことがある人がいるかもしれません。これは、実際に運用されているWebアプリケーションの調査に基づいて、開発者や運用者が避けるべき主要な脆弱性、10種類をまとめたものです。商用のセキュリティ診断サービスの中にはこのOWASP Top 10をリファレンスとしているものがある他、アプリケーション開発時の要件として「OWASP Top 10を含まないこと」を挙げるケースもあるなど、さまざまな場面で活用されています。

　OWASP IoT Top 10 2018は、簡単にいってしまえば、そのIoT版といえるでしょう。この文書では、IoTシステムの構築、デプロイ、運用時に避けるべき主な10の脆弱性をまとめています。IoTの開発者や製造者、そして利用企業やコンシューマーがIoTを開発し、利用する際によりよい判断を下せるよう支援することが狙いです。

　OWASP IoT Top 10 2018の内容は、本家OWASP Top 10に比べるとまだ歴史の浅いプロジェクトということもあり、シンプルなリストになっています。

　具体的には

1.弱い、推測しやすいパスワード、ハードコードされた（変更できない）パスワード

2.安全ではないネットワークサービス

3.安全ではないエコシステムインタフェース

4.安全なアップデートシステムの欠如

5.安全ではない、もしくはもう古くなってしまったコンポーネントの利用

6.不十分なプライバシー保護

7.安全ではないデータ転送・保存

8.デバイス管理の欠如

9.安全ではないデフォルト設定

10.物理的な堅牢化の欠如

　――となっています。

　1つ目、2つ目の項目は、実際に悪用されたケースを想起すると分かりやすいですね。「Mirai」をはじめとするIoTマルウェアが悪用する、あの攻撃経路です。総当たり攻撃などで容易に破られてしまうパスワードが設定されていたり、FTPなど不要なネットワークサービス、あるいは脆弱性が含まれたサービスが稼働しており、しかも認証なしでリモートから誰でもアクセス可能な状態はリスクが高いことを指しています。

　また、今までのところあまり大きな事件は発生していませんが、IoTシステムをバックエンドで制御するWebアプリケーション側、あるいは連動するアプリに認証の不備があったり、脆弱なAPIがあったりすると、やはり侵害を招く恐れがあることを「3」では指摘しています。さらに、最近ASUSのアップデートツールが侵害を受け、マルウェア入りのソフトウェアが配布された事件が報告されましたが、IoTデバイスに関しても同じリスクがあることを「4」からは読み取ることができるでしょう。

　という具合に、まだ日本語化はされていませんが、OWASP IoT Top 10 2018はこれからIoTを導入・運用するにあたって注意すべき箇所、チェックすべきポイントがまとめられています。文書をまとめたOWASP Internet of Things Projectでは、今後も2年おきにリストをアップデートする方針です。また関連して、これら主要なIoTの脆弱性について学べるツール「IoT Goat」を開発したり、IoTデバイスのファームウェアをテストする際のガイダンスをまとめるといったさまざまなサブプロジェクトが進行中で、チェックしておくといいかもしれません。