IoTを取り扱うための新しい習慣づけを
IoT機器の普及、それに伴うセキュリティ問題の深刻化は、IoT機器を使用するユーザーからISP事業者、販売店、製造するメーカーに至るまで、多くのステークスホルダーに影響を及ぼしている。多くのIoT機器には工場出荷時にデフォルトのパスワードが設定されており、マニュアルには使用時に変更することを呼びかけている製品もある。にもかかわらず、初期設定のパスワードのまま使い続けて、不正アクセスなどの被害に遭うケースが後を絶たないのである。
洞田氏は、それぞれのステークスホルダーが自分の責任範囲をしっかりと考える必要があると言えるでしょう」と、コメントする。
|
JPCERTコーディネーションセンター 早期警戒グループ マネージャー 情報セキュリティアナリスト 洞田慎一氏 |
また、PCなどの情報機器では、OSなどの定期的なアップデートの配信やプッシュ型の通知により、アップデートが習慣として根付いている。それに対しIoT機器の場合、果たしてアップデートの必要性や製品寿命をどれだけのユーザーが認識しているのか、洞田氏は疑問視している。
「使用しているIoT機器のサポートがたとえ終了していたとしても、モノとして見てしまうと"十分に使えるからいいや"という認識になっていないでしょうか。これは良い悪いの問題でも、またはメーカーだけがユーザーに対して呼びかける問題でもなく、IoTを取り扱ううえでの新しい習慣づけをユーザーがしていく以外に道はないだろうと見ています。実際、われわれがコーディネートしたIoT機器についても、ファームウェアのアップデートなどの基本的な習慣が必要なことを把握していなかったというケースが多々ありました」
海外メーカー製のIoT機器の場合、ファームウェアのアップデート自体がされなかったり、自発的に行おうにもパッチファイルなどの入手先がわからなかったりというケースも出てくる。そのため機器の選択の際は、サポート体制までを含めたメーカーの目利きも必要となってくるのである。
さらに、IoTと言っても、その多くは機器単独で完結するものではない。最近では、クラウドサービスと一体となって稼働する製品も増えてきている。
「セキュリティを考える場合、もはやIoTを構成しているシステム全体で見なければなりません。機器だけを見ていたのでは、真に実効性のあるセキュリティ対策は実現しないでしょう」(洞田氏)
|
IoTのセキュリティはサービス全体で確保すべき 資料:JPCERT/CC |
もう1つ厄介な問題として阿部氏が指摘するのが、多くの企業の内部には依然として情報系システムと制御系システムとの間に溝が存在している点である。
「とりわけメーカーの場合、工場内のライン制御など直接生産に関わるシステムは"聖域"とされる傾向が強く、情報系システムを担当するIT部門には手の届かない領域となっています。しかし、これからは制御システムのセキュリティ対策を練るうえでも、IT部門など部門間の密接な連携は必須となってくるでしょう」
ここまでIoTのセキュリティ上の脅威にばかり言及してきたが、セキュリティにばかり目を奪われて、本来の目的であるIoT活用によるサービスの向上や業務革新などにブレーキがかかってしまっては本末転倒だ。そのため洞田氏、阿部氏共に、IoTの本質を正しく知り、その中で注意すべきポイントについて、ユーザー、開発者などがそれぞれ認識するよう呼びかけている。
「IoTセキュリティは机上だけで考えても今ひとつ見えてこないところもあります。よって、実際にシステムを動かしながら、必要となる対策について現実的な目線で考えていくというアプローチも有効となるはずです」と阿部氏は強調した。
