IoT時代のセキュリティ、2つの基本対策とは? - MWC Americas 2017

あらゆるものがネットに繋がる”IoT時代”が現実になりつつある。

これらのIoTデバイスは遠隔から音楽を再生したり温度を調整できる便利さをもたらす一方で、簡単にハッキングされる恐れもある。総当たり攻撃で簡単にパスワードを見破られたり、マルウェアを仕込んでボットネット化されたり、通信を傍受される可能性があるのだ。

サイバーセキュリティ大手Avast Softwareでシニアバイスプレジデント兼モバイル担当ゼネラルマネージャを務めるGagan Singh氏は9月13日、米サンフランシスコで開催した「Mobile World Congress Americas 2017」の基調講演に登壇。IoTセキュリティに関して、「これまではデバイスを保護していたが、IoTではデータに重点を置かなければならない」と呼び掛けた。

今後2～3年で250億～350億台のデバイスが"つながる"

昨今、インターネットに対応したTV、照明、監視カメラなどのIoTデバイスは増加傾向にあり、インターネットにつながるデバイスは、今後2～3年で250億～350億台とも言われている。さらに、配達用ドローンやウェアラブルなどのIoT端末も多様化していくだろう。

だが、これらのデバイスは効率を上げたり、利便性を提供したりする一方で、負の面も持ち合わせている。例えば、インターネットに繋がっているデバイスの多くは、常に何らかのデータをクラウド側へ送っている。その中には、機密情報だったりプライバシー性の高い情報が含まれているかもしれない。また、室温の情報で在宅時間が推測できるし、防犯カメラを傍受して盗撮するなどの悪用も考えられる。

従来のセキュリティ対策では、危険な物理デバイスだけを取り除けば解決したが、現在では、外部へ接続しているデバイスがある限りリスクが無くなることはないだろう。

高度化する攻撃にAIで対応

デジタル攻撃は高度化する一方、昨今では知識がない人でも簡単に攻撃できるキットが出回っているという。それに対し、デバイス側の安全対策は十分とは言えないのではないだろうか。これまで情報セキュリティと縁のなかった業界がIoTデバイスを作っている事例もあり、法規制も追いついていないのが現状だ。

Singh氏によると、イベント開催地であるサンフランシスコ市の家庭にあるルーターの50％以上が脆弱性対策を実施しておらず、ハッカーの乗っ取りが可能だったという。監視カメラについても、20％以上が脆弱で悪意ある人がストリーミング先を変更するなどのことが可能な状態だという。

「何を保護すべきかが変わっている。約20年前のマルウェアの狙いはPCなど生産性のためのツールを乗っ取ることだった。だが現在では、デバイスが生成するデータを悪用する方向へ変化している」とSingh氏は話す。これは、デバイスのライフサイクルが短くなり、クラウドでバックアップを取っているので盗難や紛失も以前ほど気にしなくなったという消費者の意識の変化にも呼応するものだ。

Singh氏によると、Avastでは「4億以上のエンドポイントを保護しており、最大級の脅威情報を持っている」という。行動やトラフィックの分析に利用するため、AI(人工知能)に大きな投資をしており、「AIを利用した分析により、振る舞いを観測し、デバイスが家庭外にデータを送信していないか、危険なIPに接続していないかなどをその場で判断できる」として、AIを利用した対策はかなりの精度に達していると自信をみせた。

IoT時代のセキュリティ基本対策

最終的には、すべてのIoT端末が共通して実装する標準を設定したり、新しい端末を接続する際にセキュリティを通知するなどIoTセキュリティを再構築したりする必要がある。しかし、それには時間がかかるうえ、攻撃側も待ってはくれない。

そこでSingh氏はその間の対策として、2つの方法を紹介した。

1つ目は評判がよく信頼できるメーカーの製品を購入すること。2つ目は、ファームウェアをアップデートすること。「所有者はリスクにさらされていることに気がついていなくても、悪意ある人はわかっている」とSingh氏は呼び掛ける。

最後にSingh氏は、「Avast、そしてわれわれの競合もIoTセキュリティのソリューションに取り組んでいる。完成すれば高いレベルの保護が受けられるだろう」と展望し、降壇した。