セキュリティの
学び場

今回の解説ニュース

IoTで想定されるセキュリティの脅威と対策についてまとめられた手引きが更新されています。IoTと情報システムで求められるセキュリティの違いや、IoTを利用する上でセキュリティの観点で気を付けるべきポイントについて説明します。

今回の手引きは、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理したもので、2016年5月12日に初版が公開されています。手引きでは、IoTの構成要素を5つに分類して定義し、IoTの全体像をモデル化、その上で、各構成要素における抽出された課題を踏まえ、IoT機器やサービスのセキュリティ設計にあたって行うべき「脅威分析」「対策検討」「脆弱性への対応」について解説しています。

なお、今回の更新では、IoT関連のセキュリティガイドライン等の表の更新、参考文献のリンク確認・修正が行われています。

一般的な情報システムとIoTの開発、セキュリティ観点にどのような違いが？

一般的な情報システムとIoTに関するセキュリティ観点の違いとして、開発の過程で前提とされてきた脅威の違いが挙げられます。その上で、IoTはパソコンと同様の脅威も想定することが必要です。

例えば、Aさんが週末に家でくつろいでいたとします。そんな中で、突然Bさんが訪問してきたら、とても困るのではないでしょうか？家が散らかっていたり、人と会うことができる服装をしていなかったり、来客を前提としていないために、適切な対応ができないかもしれません。

IoTも同じように、機器の前提となるセキュリティの観点が一般的な情報システムとは異なる場合があります。元々、IoTはインターネットにつながることを前提としていない、オフラインの機器として開発されていることが多く、ネットワークに繋がる脅威を想定してないことが考えられます。それに加え、デバイスを開発するコストの観点からも、ファイアウォールや暗号化などのセキュリティ対策が見送られることがあります。一方で、IoTにはヘルスケア機器やコネクテッドカーなど、生命にかかわる機器やシステムとつながることも想定されるため、インシデントが発生した際の影響は小さくありません。

このような状況で、IoTは情報システムと構造的には変わらないため、パソコンと同様の脅威も想定する必要があります。具体的には、マルウェア感染やサイバー攻撃などに備えて、情報セキュリティで培われてきた対策が求められる場合があります。

私たちの身近にあるIoT製品、セキュリティ上注意すべき点とは

IoTの利用者側がセキュリティで気を付けるべきポイントとして、パソコンと同様のセキュリティ対策を実施することと、インターネットにつながっていることを常に意識することが必要です。

まず、IoTを利用する際も、パソコンと同様のセキュリティ対策を実施することが必要です。具体的には、IoTに脆弱性が発見されたらOSやソフトウェアのアップデートをすることが求められます。

パソコンの場合、使用中にアップデートを促されたり、簡単にアップデートができる環境が整えられていますが、IoTの場合はそうとも限りません。IoTの利用者が能動的にアップデートがあるか確認した上で、パソコンと比較するとやや複雑な手順をマニュアルで確認しながら、アップデートする必要がある場合もあります。

また、IoTの利用者は機器がインターネットにつながっていることを常に意識する必要があります。例えば、ネットワークカメラを設定する場合、その設定によっては録画された映像がインターネットに制限なく公開されてしまう可能性があります。例えば、防犯のためにネットワークカメラを設置したのに、それがインターネットへ公開されてしまったら、元も子もありませんね。IoTは常にインターネットにつながっていることを意識して、特に誰がアクセスできるべきかの設定は慎重に行うようにしましょう。

今回は、IoTと情報システムで求められるセキュリティの違いや、IoTを利用する上でセキュリティの観点で気を付けるべきポイントについてお届けしました。