第3回 シン・IoTの教室:ビジネスに活きる つながるモノの世界
“IoTシステムならでは”のサイバーセキュリティ対策〔前編〕
IoTシステムがサイバー攻撃に遭ったら? 提供側のビジネスリスクを考える
IoTシステムでも、サイバーセキュリティ対策はもちろん重要です。“ネットワーク(インターネット)につながって動作する”という性質上、いつでもサイバー攻撃のターゲットになる可能性があると考えながら、セキュリティ対策を実施しなければなりません。
ただし、IoTシステムには、一般的なITシステムにはない“IoTならではの特性”もあり、それを押さえておく必要があります。今回から数回にわたって“IoTならでは”のサイバーセキュリティ対策のポイントを考えてみましょう。
“IoTシステムならでは”のビジネスリスクとは
適切なセキュリティ対策を実施するためには、まず始めに「何を守る必要があるのか」「それが守れなければどんなリスクがあるのか」を明らかにする必要があります。
前回記事で説明したとおり、IoTシステムはデバイス/アプリケーション/ネットワークという3つの要素で構成されています。このうち、一般的なITシステムと大きく違うのが「デバイス」の部分でしょう。
ここでは「IoTデバイスを守れなければどんなリスクがあるのか」の代表例を考えてみます。
■IoTデバイスがサイバー攻撃に遭ったら……
(1)機器の不正操作、誤作動のリスク
(2)情報漏洩やプライバシー侵害のリスク
(3)サイバー攻撃の“踏み台”化のリスク
(1)は、IoTデバイスを遠隔制御する仕組みを乗っ取り、本来とは異なる、意図しない動作をさせる攻撃です。たとえば工場の産業機器、病院の医療機器、そのほか社会インフラを支える領域でこうした攻撃が発生すれば、操業停止や社会的混乱、人命にかかわるような大事故につながりかねないリスクがあります。
(2)はもっと身近な、IoT家電や消費者向けデバイスなどでも起こりうるリスクです。防犯カメラやスマートスピーカー、その他のセンサーデバイスがのっとられた場合、プライバシーに関わる情報が盗まれるリスクがあります。企業に設置されたデバイスであれば、機密情報の漏洩にもつながりかねません。
一方で(3)は少し毛色が違い、「IoTデバイスが攻撃者に悪用される」タイプのリスクです。IoTデバイスの脆弱性を突いて不正プログラムが仕込まれ、DDoS攻撃の攻撃元(ボットネット化)や、不正送金の身元を偽装するために悪用されることがあります。IoTデバイスを開発する場合、設置する場合とも、直接の被害は受けなくても、開発責任や運用責任が問われ、企業や製品への信頼が失われるおそれがあります。
脆弱性のあるIoTデバイスが、インターネットバンキング不正送金の踏み台(身元偽装)に使われるケースも(警察庁「サイバー警察局だより R6 Vol.17」より)
このように、IoTデバイスの種類や利用目的によってリスクはさまざまですが、いずれのリスクも現実の、数多くの事件/事故につながっています。
IoTシステムが社会に浸透し、より重要な役割を担うようになっている現在、それを狙ったサイバー攻撃も確実に増えています。たとえばNICT(情報通信研究機構)の「NICTER観測レポート2024」によると、NICTで観測した無差別的なポートスキャン(攻撃対象デバイスの探索活動)の多くが、IoTデバイスに対する攻撃を意図したものでした。
無差別ポートスキャンを分類すると、IoT機器を狙ったものが上位を占めた(NICTプレスリリースより)
今回ご説明したようなセキュリティリスクが考えられるため、IoT製品を開発する、あるいはIoTをビジネスやサービスに取り込むうえでは、セキュリティ意識も忘れずに持たなければなりません。
それでは具体的に、IoTシステムのセキュリティ対策はどのように進めればよいのでしょうか。次回はその点を考えていきたいと思います。
この連載の記事
-
第8回
デジタル
モノ(製品)を通じたサブスク型ビジネスの実現 鍵を握るのは「IoT」の要素 -
第7回
デジタル
「後付けIoT」手法が適しているケースとは? 過去の事例から知る -
第6回
デジタル
ビジネスとIoTが出会うとき ― 適しているのは「組み込み」か「後付け」か? -
第5回
デジタル
IoT設計/開発のセキュリティガイド おすすめの2つをどう「使う」べきか -
第4回
デジタル
IoT設計/開発では特に大切な「セキュアバイデザイン」の考え方 -
第2回
デジタル
デバイスだけなら「ただのモノ」 IoTシステムは“3つの要素”で成り立つ -
第1回
デジタル
IoTは「モノのインターネット」ではない… だったら何なのか?