新たなビジネスの創出や利便性の向上など、メリットも多いIoT。しかしその一方で、情報漏洩やサイバー攻撃なども増加しているため、IoT機器を使用するにあたってはセキュリティ対策が欠かせないものとなっています。

そこで今回は、IoT機器におけるセキュリティの重要性や対策を怠った際に考えられるリスクについて解説していきます。IoT機器におけるセキュリティ対策の手順やポイントもまとめていますので、企業においてIoT機器の管理・運用をされる際の参考にご覧ください。

IoT機器におけるセキュリティ対策の重要性

IoTとは、私たちの身の回りにある “モノ”同士をネットワークで繋ぎ、相互にデータを送受信する仕組みのことを指します。この仕組みに利用されるのが、エッジデバイスやIoT端末と呼ばれる機器です。

このIoT機器は、インターネットに接続して利用するという特性上、悪意ある第三者からの攻撃対象になってしまう可能性もゼロではありません。

総務省の「情報通信白書 令和5年版」では、「NICTERでのサイバー攻撃関連の通信内容をみると、2021年に比べIoT機器を狙った通信が大幅に増加し、サイバー攻撃関連通信全体の3割を占めている。」と言及されており、IoT機器へのサイバー攻撃の増加が懸念されています。

近年では、社会情勢の影響で急速にIoT機器が普及したことによって、中には適切なセキュリティ対策が施されないまま運用しているというケースも少なくないため、大きな問題となる前にIoT機器におけるセキュリティについて見直す必要があるのではないでしょうか。

関連記事：「IoT端末ってそもそも何？その役割やセンサーの種類・活用例とは」

IoT機器のセキュリティ対策を怠った際のリスクとは？

IoT機器を導入する上で欠かせないセキュリティ対策ですが、その対策を怠ることでどのようなリスクが考えられるのでしょうか？ここでは、代表的なリスクをいくつかピックアップします。

セキュリティリスク①：情報漏洩

IoTは機器同士をインターネットで接続してデータを送受信する仕組みとなっています。
ですので、攻撃者がIoT機器におけるセキュリティの脆弱性を狙って不正にアクセスしたり、マルウェアと呼ばれる悪意のあるソフトウェアを仕込んだりすることで、個人情報や企業の機密情報が漏洩してしまうリスクがあります。

セキュリティリスク②：機器の不正利用

IoT機器におけるセキュリティリスクには、攻撃者がインターネットを経由して機器を不正使用されてしまうというものもあります。

例えば、悪意のある攻撃者にIoTのシステムが乗っ取られることで、工場の製造ラインが停止して企業活動が維持できなくなったり、医療機器などの制御が乗っ取られて救急の受け入れや治療ができなくなるなど、人命に関わる被害を発生させる可能性もあります。

さらに脅威となるのが、制御を乗っ取られることで、他者を攻撃する際の踏み台として利用されてしまうことです。

例えば、自動運転システムの制御権を奪って自動車の事故を引き起こす、ガスや電気などのインフラ設備の制御を乗っ取る…など、テロ行為を誘発させてしまうリスクもゼロではありません。

セキュリティリスク③：企業イメージの失墜

代表的なIoT機器におけるセキュリティリスクについてお話しましたが、セキュリティ対策を怠って情報漏洩や機器の不正利用などが起こってしまった場合、企業としての信頼が失墜するだけでなく、中には損害賠償に繋がるケースがある点も忘れてはなりません。

特に、一度損なわれてしまった企業の信頼度を回復させることは非常に困難です。そのため、情報漏洩やサイバー攻撃によるIoT機器の不正利用などを引き起こさないように、企業は十分なセキュリティ対策を行う必要があります。

IoT機器にセキュリティリスクがある理由

ここまでIoT機器におけるセキュリティの重要性と怠った場合のリスクについてまとめてきましたが、どうして情報漏洩や機器の不正利用といったリスクが顕在化してしまうのでしょうか？

それには、下記のような理由があります。

【IoT機器の設計に関わる理由】

• セキュリティ機能が不足している
• 脆弱性を持つソフトウェアを組み込んでいる　…など

【運用方法に関する理由】

• 初期値のままや桁数が少ないパスワードを使っている
• セキュリティパッチを適用せずに脆弱性を放置している
• 公衆無線LANなどの脆弱性のある無線が使われている　…など

上記から分かる通り、IoT機器にセキュリティリスクがあると言われるのは、開発段階でのセキュリティ機能の設計漏れ、また管理・運用の甘さなどが本質的な原因となっています。

これらはIoT機器を導入する際にしっかりと運用計画を立てることで解決することができる問題です。次からIoTにおけるセキュリティガイドラインについて解説していきますので、ぜひ今後のセキュリティ対策の参考にご覧ください。

IoT機器におけるセキュリティ対策の手順

これまでネットワークに接続されていなかった自動車やカメラなどの機器が、インターネット経由で接続されることによって新たな脅威が発生しているとし、IoT推進コンソーシアム（総務省・経済産業省）は「IoTセキュリティガイドライン」を発表しています。

ここからは、IoT機器におけるセキュリティ対策の手順として、ガイドラインで示されている「方針」「分析」「設計」「構築・接続」「運用・保守」の5つの指針について、わかりやすく解説していきます。

方針：経営者がIoTの性質を考慮し、基本方針を定める

IoTのセキュリティ対策を検討する際は、まず経営者が先頭に立ち、IoTの性質を考慮したセキュリティの基本方針を策定する必要があります。

基本方針がなければ社内の意思統一ができず、セキュリティ対策を講じるための人材や設備の投入が難しくなってしまいます。また、経営者が先導することで、外部だけでなく内部不正や人的ミスへの対策を検討しやすくなります。

企業の代表である経営者は、社会や個人に損害を与えてしまった場合に、リスク対応の是非や経営責任が問われることもあるため、IoTの性質を理解した上で、率先して社内の体制を整えましょう。

分析：IoTのリスクを認識する

次に、利用するIoTシステム・機器にどのようなリスクがあるのかを分析し、そのリスクを認識する必要があります。

この段階では、まず安心安全の観点から守るべき機能や情報を洗い出します。そして、過去の攻撃事例などを参考にしながら、それらの情報が他の機器とネットワークで繋がることによってどのようなリスクがあるのか、また機器が故障した際にどのような影響があるのかなどを詳細に分析しましょう。

設計：守るべきものを守るための設計を考える

何を守るべきかを特定し、それらにどのようなリスクがあるのかを認識した後は、その“守るべきもの”を守るために、システムや機器の設計を考えます。

IoTのシステムはさまざまな機器に接続されるという性質を持っています。ですので、もしもの際にネットワークから切り離す・機能を停止するなど、他の機器にまで影響が出ないように検討するとともに、早期復旧を視野に入れた設計をする必要があります。

特に、IoT機器やシステムを利用する場合は、単独では問題なくても“つながる”ことで想定外のリスクを生む可能性があるため、守るべきものが守れる設計になっているか、その設計が妥当であるかなど、評価・検証も重要です。

構築・接続：ネットワークに接続する上での対策を考える

「構築・接続」の段階では、IoT機器の機能や用途に合ったネットワーク構成になっているか、セキュリティ機能は十分か…などを考慮しながらネットワークに接続する上で必要な対策を検討します。

例えば、セキュリティに留意して初期設定を行う、なりすましや不正アクセスに備えて認証や暗号化の仕組みを導入するなど、外部からでも容易に攻撃できるような脆弱なシステム・サービスとならないように対策を講じましょう。

運用・保守：安全安心な状態を維持する

「運用・保守」の段階では、IoT機器の出荷後、またはシステム・サービスの開始後も安全に運用するための対応が必要となります。

ネットワークを介した攻撃は日々進化しており、製品リリース時にはなかった脅威が発生することがあります。ですので、システムの稼働開始後においても、常に脆弱性を監視・分析し、システムの利用者に注意喚起を行う、また、必要に応じてシステムのアップデートを行うなどの対応をしましょう。

参考：総務省・経済産業省「IoTセキュリティガイドライン ver1.0概要」

IoT機器におけるセキュリティ対策のポイント

IoT機器が受けやすい攻撃の例を見てみると、下記のようなものが挙げられます。

• ソフトウェア・ファームウェア等の脆弱性を攻撃
• 認証情報を推測または窃取することによる攻撃
• 二者間の通信を傍受または改ざんするオンパス攻撃
• 機器の盗難・破壊など物理的な攻撃

これらの攻撃は、IoT機器におけるセキュリティ機能の不足や管理・運用の甘さが原因となることがほとんどです。では、これらの攻撃を防ぐために、具体的にどのようなポイントを押さえていけばよいのでしょうか？

ここからは、年々増加する外部からの攻撃を防ぎ、大切な情報・データを守るために押さえておきたい基本的なセキュリティ対策のポイントについてまとめていきます。

ソフトウェア・ファームウェアをアップデートする

システムのリリース時にはなかった脅威が発生することもあるため、IoT機器で使用するソフトウェアやファームウェアのアップデートがあった際には必ず更新することが大切です。

アップデートすることによってセキュリティ上の脆弱性を排除し、情報漏洩や不正利用などのリスクを軽減することができますので、最新バージョンとなっていない場合は、放置せずに小まめにアップデートを行いましょう。

機器認証を利用する

IoTの仕組みでは、機器同士がネットワークで相互に接続されています。ですので、第三者がネットワーク上のIoT機器になりすますことができないように、機器認証を設定しておくと安心です。

機器認証とは、IoT機器に対して発行される証明書のようなもののこと。利用する機器ごとに固有の識別情報を設定しておくことで、システムにアクセスする際にその機器端末が正しい機器であるかどうかが確認できるため、第三者による不正アクセスを防ぐことができます。

未使用の機能はオフにする

IoT機器には多数の機能を搭載することがありますが、未使用の機能があればオフにしておくことも大切です。

IoT機器は、インターネットに接続して利用するという性質を持っています。しかし、インターネットに接続している機能が多いほど、攻撃のリスクは増加してしまいます。そのため、不要な機能がある場合はオフにしておくことで、外部からの攻撃のリスクを軽減することができます。

データを暗号化する

外部攻撃やオンパス攻撃（二者間の通信を傍受または改ざんする中間者攻撃）から情報漏洩のリスクを軽減するには、IoT機器から送信するデータを暗号化する必要があります。

ただ、複雑な暗号化であればあるほどセキュリティ性も高まりますが、電力消費量や処理速度に影響する可能性もあるため、用途やデータ内容に合わせて適切なレベルで暗号化を行いましょう。

閉域網を利用する

攻撃者は、IoT機器だけでなくネットワークの脆弱性を狙ってくるケースもあるため、場合によっては閉域網を利用するのも一つの手段となります。

閉域網とは、いわゆるプライベートネットワークのことで、不特定多数のユーザーが利用できる回線とは異なり、限られたユーザーのみがアクセスできるネットワークを指します。この閉域網を利用すれば、第三者の不正アクセスを防ぎ、情報漏洩や機器の不正利用などのリスクを防止することができます。

セキュリティ状況を可視化する

IoTのシステムでは、複数の機器を利用することが多々あります。人の手で管理できる程度の数や種類であれば問題ありませんが、多数のIoT機器を使用する場合、機器ごとにソフトウェアのバージョンやインストールしているアプリの種類が異なると、全てを最適化するのが難しくなり、結果的にセキュリティにも脆弱性が出てしまいます。

そのような場合は、IoT機器のセキュリティ状況を可視化して一括管理できるように、デバイスマネージメントツールを利用すると良いでしょう。デバイスマネージメントツールであれば、遠隔からでもIoT機器の状況を一括管理できるため、セキュリティリスクを軽減することが可能です。

専門家に相談する

IoTのシステムや機器を導入・運用する際は、幅広い知識と専門的なスキルが必要です。しかし、それらの経験を持つ人材が社内にいるという企業は多くありません。ですので、IoT導入を検討する場合は、まずIoTについて幅広い知識と経験を持つサービス事業者に相談してみるのが良いでしょう。

豊富な知識と経験を持つIoTの専門家であれば、自社の課題に合わせたシステムの提案はもちろん、システムを運用する上での注意点や円滑な進め方のアドバイスなどのサポートが期待できます。

最近では、IoTシステムの開発や導入だけでなく、取得したデータの分析・活用方法についてサポートしてくれるサービスもあるため、

「専門知識を持つ人材がいないので、自社だけでは難しい」
「できるだけスムーズに成果を出したい」
「そもそも何から始めて良いのか分からない…」

…とお悩みの方は、IoTの専門サービス事業者に問い合わせてみることをおすすめします。

IoTによる課題解決ならパナソニック発のVieurekaにご相談を！

パナソニックの研究開発部門から発足した私たちVieureka（ビューレカ）は、「世界の今をデータ化する新たな社会インフラを創造」をミッションに掲げ、開発・導入・運用などのハードルを下げるプラットフォームを提供しています。

高性能なCPUを内蔵したエッジデバイス「Vieurekaカメラ」をはじめ、これまで取得できなかった情報をデータ化して活用する「Vieurekaプラットフォーム」など、お客様のご要望に沿った導入のご提案をさせていただきますので、ぜひお気軽にお問い合わせください。