こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般社団法人ICT-ISACは4月20日、「法人向けIoT機器の悪用によるサイバー攻撃防止ページ」の公開について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】法人向けIoT機器のセキュリティリスクについてまとめられたホームページが公開されています。個人向けIoT機器のセキュリティ対策との違いと、法人向けIoT機器が攻撃者に狙われやすい背景について説明します。
今回のホームページは、法人向けIoT機器について解説するとともに、IoT機器のサイバーリスクや、法人向けIoT機器の関係会社、サイバー攻撃による影響を抑制するための説明を行っています。ICT-ISACでは、SIerや通信事業者の会員を中心に、安全なIoT機器の利用を啓発するために「法人IoT機器脆弱性対応SiG」を立ち上げました。サイバー攻撃の防止に向けて、リーフレットの作成と「法人向けIoT機器の悪用によるサイバー攻撃防止ページ」の公開を通じて、関係者の相互理解を高めています。
なお、主な法人向けIoT機器として、クラウドサービスを介して利用されるインターネットに接続するためのルータ、監視カメラ、IoT接続ゲートウェイなどが挙げられています。
法人向けIoT機器は個人向けIoT機器と比較して、情報資産としての価値が異なるため、求められるセキュリティ対策も異なる場合があります。
例えば、Aさんがレンタカーを運転していたとします。中古の軽自動車を運転していた場合と、新車のスポーツカーを運転していた場合では、どちらの方が緊張するでしょうか?きっと、新車のスポーツカーの方が、電柱や壁でこすらないよう、慎重に運転するのではないでしょうか。また、各車両にかける保険も、スポーツカーの場合は強制保険と自賠責保険だけでは足らないと感じるかもしれません。理由は、スポーツカーの金銭的な資産価値が軽自動車と比較して高いため、事故をした時の損失が大きいと理解しているからです。
今回、公開されたホームページでも、セキュリティ対策費用は自動車保険のようなもので、必要経費として対応すべきと述べられています。具体的なセキュリティ対策の違いとしては、個人向けIoT機器としても必要とされるID/パスワード管理やファームウェアのアップデートに加え、法人向けIoT機器ではアクセス制御が挙げられています。
法人向けIoT機器は個人向けIoT機器と比較して、攻撃者の期待できる価値が高いため、攻撃されやすい傾向にあるようです。
Aさんが、ギャンブルをしていたとします。Aのパチンコ店とBのパチンコ店があった場合、Aのパチンコ店は期待値が80%で、Bのパチンコ店は期待値が65%だったとします。迷わずAのお店に行くと思うのですが、理由は言わずもがな、Aのお店の方が勝てる可能性が高いからですね。仕事で稼いだお金を失うかもしれないリスクに対して、勝てる可能性の高いお店を選ぶことは必然だと考えます。
サイバー攻撃も同様で、攻撃者が逮捕されるリスクを許容しても攻撃する上では、期待できる価値が高い方を選択するはずです。また、法人向けIoT機器とそれが連携するクラウドサービスには、多くの個人情報や価値の高い情報が保存されていることが考えられます。今回、公開されたホームページでも、これまでサイバー攻撃の感染通信を出すIoT機器、不正に悪用されやすい脆弱な機器の利用者を調べてみると、個人契約よりも法人契約の方が多くなっています。また、総務省の調査によると、攻撃関連の通信は2017年から2020年で3倍強に増加しており、全体の37%がIoT機器を狙った攻撃通信だったということです。
今回は、法人向けIoT機器のセキュリティ全般についてお届けしました。セキュリティ対策がなされていないIoT機器は、別のサイバー攻撃や踏み台に悪用されてしまいますので、個人と法人にかかわらず、IoT機器の基本的な設定が問題なく行えているかは、この機会に確認してみてはいかがでしょうか。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ