情報処理推進機構(IPA)は3月30日、2016年に社会的影響が大きかったトピックをまとめた資料「情報セキュリティ10大脅威 2017」を公開した。IPAは毎年「10大脅威」を発表しているが、今回初めて「IoT機器の脅威」がランクインしたという。

そこで今回、IPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員 辻宏郷氏にIoTシステムにおけるリスクについて話を聞いてみた。

IPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員 辻宏郷氏

IoTセキュリティに向け一歩を踏み出す資料を公開

独立行政法人という立場から、IPAには、ベンダーやユーザー企業など、さまざまな立場の人たちから公的な機関としての期待が寄せられている。その期待に応えるべく、IPAはIoTセキュリティに関してもさまざまな資料を公開している。

辻氏は、その資料の1つである「IoT開発におけるセキュリティ設計の手引き」(2016年5月発行)の内容を例にとり、IoTにまつわるリスクについて説明してくれた。

この資料はIoTシステムのセキュリティ設計において、行うべき脅威分析、対策検討、脆弱性への対応方法を解説したものだ。このところ、IoTセキュリティの取材において、「IoTデバイスはセキュリティの設計が不十分なので、これからはセキュリティを考慮した開発が必要になる」という話を多々聞いたが、この問題の解決を支援する資料と言える。

同資料では、脅威を持つ可能性があるIoTシステムの例として「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」を題材として、リスクと対策を説明している。いずれも、未来の製品ではなく、既に利用が始まっているモノだ。

辻氏は、「例えば、過去にGoogleカレンダーを内蔵した冷蔵庫に脆弱性が発見されています。この脆弱性を突かれてGoogleのアカウントが窃取された場合、さまざまな被害を受ける可能性が考えられます。Googleカレンダーの情報が盗まれたら、出張で不在の時に自宅が狙われるかもしれません。また、Gmailのなりすましが行われ、仕事でそのアドレスを使っていたら取引先に迷惑をかけるかもしれません。さらに、Google フォトに保存している知られたくない写真を第三者に見られたりといった被害もありえます」と、IoTシステムにまつわるリスクを指摘する。

さらに、コネクテッドカーや医療機器の場合は、誤動作が起きたら、生命に関わる事故が起きる可能性がある。

実のところ、IPAは「組み込み機器のセキュリティ」について10年以上取り組んできており、組み込み機器のセキュリティに対する啓発活動を行ってきた。今回、「IoT開発におけるセキュリティ設計の手引き」を公開したことで、具体的に、IoT機器を守るために何をすべきかを示すことができたのではないかとIPAでは見ている。

辻氏は、この10年間の変化について「これまで、組み込み機器は『つながらないモノ』が多く、つながるモノがあっても自社の機器に限られていました。そのため、対策も社内で何とかなっていました。しかし、マルチベンダーの機器がつながるようになってくると、メーカーが想定していない事象が発生するようになりました。また、仕様が公開されたことで、攻撃者にも情報が与えら得ることになるなど、今までの対策ではカバーしきれなくなってきています」と話す。

「情報セキュリティ10大脅威 2017」にランクイン

次に、辻氏は「情報セキュリティ10大脅威 2017」をもとに、IoT機器を取り巻く最新動向について説明した。

「情報セキュリティ10大脅威 2017」は、個人と組織に分けて、それぞれの脅威のトップ10を発表している。個人では第10位に「IoT機器の不適切な管理」が、組織では第8位に「IoT機器の脆弱性の顕在化」がランクインしている。昨年は、個人、組織のいずれにおいても、IoT機器の脅威はランク外だった。

「情報セキュリティ10大脅威 2017」

解説資料では、2016年にIoTシステムの脅威が高まり、注目を集めたこともあり、別の章にてIoT機器の大量乗っ取りと大規模DDoS攻撃への悪用に関する詳しい説明を行っている。