企業が知るべきIoTセキュリティガイドラインとは

最終更新日:2021年01月01日

IoT普及によるセキュリティリスク

IoTはインターネットを介して情報収集を行うため、さまざまなリスクがあります。ここでは、インターネットにつながることでどのようなリスクがあるのか、またそのために国がどのような施策を行っているかなどを探っていきます。

IoT導入によって起こりうるセキュリティリスクの特徴

では、IoTが普及していく中でどのようなリスクがあるのでしょうか。

まず、考えられるのが、IoTは多種多様の「モノ」がインターネットを通じてつながっているため、何らかの攻撃を受けた時に被害を受ける機器の数が膨大で、多岐に渡るということです。家電製品などに搭載されているIoTに欠かせないセンサ−機器は、小型化されることで普及が進んだ反面、小さいがためにCPUやメモリなどの性能もそれほど高くありません。それによりマルウェア「malicious software(悪意があるソフトウェア)」による感染に対する処置ができる余裕がないのです。

その結果、下記項目にあるような攻撃にさらされ、問題が起きやすくなってしまいます。

サイバー攻撃により機器制御が不能になる

IoTを導入している工場の制御システムがサイバー攻撃を受けることで、自動制御機械の制御が不能になった場合、物理的な事故が発生する可能性があります。自動運転の車がサイバー攻撃により制御不能になり自動車事故の原因になるなどがそれに当たります。

インターフェース部分の乗っ取りで情報漏えい

スマートスピーカーやセンサーなど、IoT機器の情報表示部分が乗っ取られることで、個人情報や企業の機密情報などが盗み取られる可能性があります。

踏み台攻撃の脅威

IoT機器を踏み台として標的となる対象を攻撃します。攻撃者は、インターネットを通じて、複数のIoT機器にマルウェアを仕掛け、そこから、さらに標的となる対象につながって、不正アクセス、マルウェア感染、情報漏えいやデータ改ざんをします。

IoT機器の攻撃に使われるマルウェア「Mirai」

IoT機器の攻撃手段として使われるマルウェアに「Mirai」があります。このマルウェアは、インターネットに接続するルーターやWEBカメラなどを主な対象としています。 このマルウェアに感染したIoTデバイスは、感染してもほぼ普段通り動くため、感染に気づきにくいのです。

「Mirai」の攻撃の流れ

1、攻撃者は、出荷時に共通しているIDやパスワードを確認してログインし感染させます。 2、「Mirai」に感染したIoT機器は巨大なボットネットとなります。(ボットネットとは、マルウェアに感染した端末がネットワーク上でつながり、一つの攻撃対象に攻撃体制をとることです。) 3、「Mirai」に感染したIoT機器は、「C&Cサーバー(Command & Control Server)」からの指令を待つようになります。 4、攻撃対象となったサーバーなどは、感染し乗っ取られたIoT機器から、大量のデータを送りつけられ、負荷が増大しサーバーダウンなどの被害に遭います。 5、さらに他のIoT機器に感染して増殖し、被害を拡大化していきます。

「Mirai」などのマルウェアからIoT機器を守るには

IoT機器は、感染に気づきにくく、買い換えるまで長期間に渡り被害に会う場合もあります。家庭で使用しているIoT家電が被害に合わないようにどのような対策を取ったら良いかを以下に挙げます。

・IDやパスワードは初期設定のままにせず、すぐ変更

IoT機器がマルウェアに感染するという認識を持つ人が少なく、多くの人が買った時のIDやパスワードをそのままに使用しています。攻撃者はその状態を知っていて、メーカーが提供する初期IDやパスワードのパターンを調べ、該当のIDやパスワードを使っているIoT機器に簡単にログインできてしまうのです。そうならないよう、購入したIoT機器はすぐにIDやパスワードを変更しましょう。

・常に最新のファームウエア(IoT機器を制御するソフト)に更新しておく

PCや、スマートフォン、スマートスピーカーなど、インターネットに接続する機器だけではなく、インターネットにつながっているIoT機器も最新のソフトウエアに更新するよう心掛けましょう。

・不安がある場合は回線を切断して電源をオフにする。

「Mirai」は、一度電源を落とすと内部のメモリの情報が消えてしまう「揮発性メモリ」に感染するマルウェアのため、電源を落とすことも有効な対策です。

各省庁が発表している「IoT セキュリティガイドライン」

IoTが普及していくにつれ、インターネットに接続ができるようになった機器がマルウェアの感染などの新たな脅威にさらされることになりました。 個人や各企業だけではなく、国としての対策も必至との判断により、さまざまなIoTのセキュリティ対策を行う流れができました。 ここでは、各省庁がサイバーセキュリティ被害を防ぐために行なっている施策についてご案内します。

総務省、経済産業省などによる、セキュリティ対策の流れ

2017年1月、総務省は2017年に行う取り組みをまとめた「IoTサイバーセキュリティ アクションプログラム2017」を公表ました。

(1)IoT/AI時代のサイバーセキュリティを支える基盤・制度 (2)IoT/AI時代のサイバーセキュリティを担う人材育成 (3)IoT/AI時代のサイバーセキュリティ確保に向けた国際連携 (4)その他

※引用元 総務省  「サイバーセキュリティタスクフォース」の開催

IoTセキュリティガイドライン ver1.0 概要

総務省や経済産業省による「IoT推進コンソーシアム IoTセキュリティワーキンググループ」は新たな脅威に対するセキュリティ対策の一環として、IoTセキュリティに関してのさまざまな議論を重ね、 IoTのセキュリティに関するガイドラインとして、IoT セキュリティガイドラインを策定し、平成28年7月に公開しました。

IoTセキュリティガイドライン ver1.0 概要 平成28年7⽉ IoT推進コンソーシアム 総務省 経済産業省

IoT セキュリティ・セーフティ・フレームワーク(IoT-SSF)Ver1

経済産業省は、令和元年8月2日に産業サイバーセキュリティ研究会WG1(WG1)の下に「『第2層:フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォース」を設置し、「IoTセキュリティ・セーフティ・フレームワーク」(以下、「IoT-SSF」という。)の策定を進め、2020年11月5日にIoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を発表しました。

IoT セキュリティ・セーフティ・フレームワーク(IoT-SSF)Ver1

IoT・5G セキュリティ総合対策

5Gの登場により、前述のサイバーセキュリティタスクフォースは、2019年8月に「IoTセキュリティ総合対策」の改訂版として策定された「IoT・5Gセキュリティ総合対策」を取りまとめました。最新版は、令和2年7月に発表された、IoT・5G セキュリティ総合対策 2020です。

IoT・5G セキュリティ総合対策 2020 令和2年7月

テレワークセキュリティガイドライン

コロナ禍におけるテレワークのために、テレワークセキュリィガイドラインも発表されています。2021年2月現在の最新版は第4版です。

テレワークセキュリティガイドライン第4版 平成30年4月 総務省

今後のIoTとサイバーセキュリティ基本法

サイバーセキュリティという言葉はなんとなく知っていてもそれが何かと問われると答えるのが難しい言葉かもしれません。そのため、サイバーセキュリティに関して、サイバーセキュリティ基本法※という法律があり、サイバーセキュリティの施策の基本となる事項などを規定しています。

IoTを活用して行く上で、サイバーセキュリティについて理解し、自分が知らずに被害に遭ったり、逆に誰かに被害を与えたりしないよう気を付けるためにも、一度目を通してみてはいかがでしょうか。

※ サイバーセキュリティ基本法 (総務省 安心してインターネットを使うために 国民のための情報セキュリテイサイト)