家電や自動車、街中の防犯カメラや工場の設備機器など、さまざまな端末をネットワークでつなぐIoTの仕組み。しかし、インターネット経由でデータの送受信を行う以上、セキュリティリスクは避けては通れないものとなっています。

そこで今回は、IoTにおけるセキュリティリスクとともに、実際にどのような被害が発生しているのか、サイバー攻撃による被害事例をまとめていきます。また、IoTシステムを利用する際にどのようなセキュリティ対策を行うべきかについても解説していきますので、ぜひ参考に最後までご覧ください。

IoTのセキュリティ対策が必要な背景とリスク

“モノ”同士をネットワークでつなぎ、相互にデータを送受信するIoTの仕組み。カメラやスピーカーなど、エッジデバイスやIoT端末と呼ばれる機器をインターネット経由で接続することで、遠隔操作やデータの処理・分析などを行うことができるため、近年では幅広いビジネスの現場で活用が始まっています。

しかし、IoTの仕組みはインターネットに接続して利用するため、サイバー攻撃による情報漏洩やIoT機器の乗っ取りなどのリスクの可能性はゼロではありません。

【IoTのセキュリティを怠った場合のリスク例】

• 個人情報や機密情報が漏洩する
• 機器の制御が乗っ取られる
• 他者を攻撃するための踏み台にされる
• 上記により、企業の社会的信用が失墜する

実際に、総務省の「情報通信白書 令和5年版」でも、サイバー攻撃関連の通信数が年々増加傾向にあると発表されており、IoT機器を利用する際には十分にセキュリティ対策の重要性について認識する必要があります。

関連記事：「IoTにおけるセキュリティ対策の課題・問題点とは？起こり得るリスクとセキュリティ対策のポイント」

IoTセキュリティの脆弱性を狙ったサイバー攻撃の事例

では、サイバー攻撃によってどのような被害が出ているのでしょうか？
ここからは、実際のIoTシステムを狙った攻撃の事例をご紹介します。

事例①：自動車メーカーにおける身代金要求型ウイルスの被害

2022年、大手自動車メーカーと取引関係にある企業では、システムへのアクセス制限をかけて身代金を要求するランサムウェアによる被害が発生。

これは、リモート接続機器の脆弱性を狙ったもので、サーバーやパソコンの一部でデータが暗号化され、英文で「このリンクにアクセスしないと機密情報を公開する」という主旨の脅迫文が表示されたといいます。同社では被害の拡大を防ぐために、ネットワークを遮断。これにより国内の全工場を停止させるという事態に陥りました。

事例②：不正アクセスにより25万人の履歴書が漏洩

ある総合転職情報サイトでは、2023年に不正ログインによって約25万人のWeb履歴書が外部に漏洩するという被害が発生しました。

この情報漏洩事件では、不正に取得されたIDとパスワードを使って様々なサイトにログインを試す“リスト型攻撃”と呼ばれる手法が使われており、この攻撃によって一部の登録者のWeb履歴書にアクセスされた可能性があることが判明しています。事件発覚後は、漏洩の可能性があるユーザーに対してパスワードのリセットや個別メールでの通知を行うなどの対応がされました。

事例③：監視カメラが不正アクセスで稼働停止

IoTセキュリティの脆弱性を狙ったサイバー攻撃は、防犯や監視のために設置されているカメラにも及んでいます。

国土交通省では、2023年に河川の監視カメラが不正アクセスを受けた可能性があるとして、338台の監視カメラの稼働停止とともにカメラ画像の配信停止を発表。この不正アクセスの被害を受けたのは、近畿地方整備局が管理する監視カメラで、2020年に導入されて以降、工場出荷時の簡易的な初期パスワードを変更しないまま運用していたことにより、攻撃者にパスワードの脆弱性を突かれた可能性が高いとされています。

また、同じく2023年には、小学校や保育園の防犯カメラが、サイバー攻撃によってウイルスに感染。インターネット経由で外部から操作できる状態となっており、別のサイバー攻撃の踏み台として悪用されたほかに映像が盗み見られていた可能性があるとされています。

IoTにおけるセキュリティ対策の例

IoTを利用するにあたって外部からのサイバー攻撃を防ぐために必要なのは、ネットワークや機器にセキュリティ機能を搭載することだけではありません。担当者がIoTのシステムを適切に管理・運用するには、企画段階から設計フェーズに至るまでのセキュリティリスクの洗い出し、優先順位付け、そして対策の明確化が重要となります。

ここからは、IoTにおけるセキュリティを考える上でどのような対策を行えば良いのかまとめていきますので、自社のセキュリティ対策を検討する際の参考にご覧ください。

ソフトウェア・ファームウェアをアップデートする

IoTにおけるセキュリティ対策として必ず行っておきたいのは、ソフトウェアやファームウェアのアップデートです。

IoTを導入する際に機器にセキュリティ機能を搭載しておいたとしても、運用を続けていくうちに、新たなウイルスやシステムの脆弱性などが発見されることもあります。それらの脅威を排除するためにも、メーカー側から提供されるセキュリティパッチを適用するなど、定期的にアップデートをしておくようにしましょう。

パスワードを更新する

定期的にパスワードを更新することも、IoTにおけるセキュリティ対策の一つとなります。定期的にパスワードを更新することで、知らないうちにパスワードが漏洩してしまった際の対策としても有効です。ですので、担当者の異動・退職のタイミングのほか、1ヶ月・3ヶ月…などで期間を決めて更新するなどで管理するようにしましょう。

また、IoT機器の初期パスワードを変更しないで使用したり、複数の機器で同じパスワードを使い回したりすることもセキュリティ上のリスクが高まりますので、必ず機器ごとに個別のパスワードを設定して運用するようにしましょう。

機器認証を利用する

IoT機器を利用する際には、第三者がなりすますことができないように、機器認証を設定しておくのもセキュリティ対策として有効な手段となります。

IoT機器に対して固有の識別情報を設定しておくことで、その機器自体が正しい機器であるかどうかを確認することができるため、第三者のなりすましによる不正アクセスを防ぐことができます。

未使用の機能はオフにする

IoT機器へのサイバー攻撃のリスクを軽減するために、不要な機能がある場合は削除、またはオフにしておくことも大切です。

IoT機器にはさまざまな機能が搭載されていることがありますが、インターネットに接続している機能が多いほど外部との接点が増える、つまり、サイバー攻撃のリスクが増加するということになります。ですので、そのリスクを軽減するためにも、未使用の機能がある場合はオフにするなどで対応しましょう。

データを暗号化する

IoTのセキュリティ対策を考える上で必ず行っておきたいのが、データの暗号化です。

IoTの仕組みでは機器端末同士をインターネット経由で接続してデータの送受信を行います。しかし、それらのデータが暗号化されていないと、外部から不正にアクセスされた場合、簡単に情報が読み取れてしまうのです。

また、データを暗号化していたとしても、脆弱性がある暗号方式を使っていたり、データを暗号化・復元する“暗号鍵”をわかりやすい場所に置いていたりと、管理面での不備があるケースもあります。ですので、用途やデータ内容に合わせて適切な暗号方式を使うだけでなく、暗号鍵の管理方法についても検討しておきましょう。

閉域網を利用する

IoTの用途によっては、ネットワークを閉域網にするのもセキュリティ対策の一つの手段です。

閉域網とは、不特定多数が利用するインターネット回線のようなネットワークではなく、限られたユーザーのみがアクセスできるプライベートなネットワークのことを指します。

この閉域網であればインターネットと接続が分離されるため、第三者からの不正アクセスのリスクを軽減することが可能。企業の機密情報や顧客の個人情報などの重要なデータの漏洩事故を未然に防止する際に有効な手法となっています。

セキュリティ状況を可視化する

複数のIoT機器を利用する場合は、セキュリティ状況を可視化しておくことも有効なセキュリティ対策となります。

特に多くの機器を使用する場合、インストールしているソフトウェアのバージョンや種類などの環境に差が出てきてしまうこともあります。数台程度なら問題ありませんが、何十台、何百台など、多くの機器を利用してシステムを運用している場合、機器の状態を1台1台確認しながらメンテナンスを行うのは現実的ではありません。

ですので、そのような場合は、デバイスの状態やセキュリティ状況を一覧で確認することができるデバイスマネージメントツールの利用を検討するのがおすすめです。IoTでは機器の数や種類が多くなればなるほど管理が複雑化してしまうため、IoT導入時には、あらかじめセキュリティ状況を一括して管理できるような運用方法を検討しておきましょう。

専門家に相談する

IoT導入において適切なセキュリティ対策を行うには、システムの企画段階からセキュリティリスクを全て洗い出した上で、必要な対策を検討する必要があります。そして、それらの作業にはIoTの専門的な知識とともに、サイバー攻撃者の動向や脅威の状況などの最新の情報を把握しておくスキルが欠かせません。

しかし、そのような知識と経験のある人材を専任として確保するのが難しいという企業も少なくありません。また、何とか社内だけでセキュリティ対策を行ったとしても十分な対策が行えているかどうかは判断が難しいケースもあります。

ですので、IoTのセキュリティ対策について検討する際は、自社内だけで何とかしようとせず、IoTについての専門知識と幅広い経験を持つサービス事業者に相談してみるのをおすすめします。

IoTのサービス事業者であれば、システム導入をサポートしてくれるだけでなく、豊富な知識と経験で自社の状況に合わせた最適なセキュリティ対策を提案してくれます。ですので、IoT導入を検討されている方は、一度専門のサービス事業者に問い合わせてみると良いでしょう。

IoTにおける実際のセキュリティ対策の事例

ここまで、IoTを利用する際のリスクや被害事例、セキュリティ対策の例などについてまとめてきましたが、実際の現場ではどのようなセキュリティ対策が行われているのでしょうか？

ここからは、私たちVieureka（ビューレカ）がAIカメラを利用する際にどのようにセキュリティ対策を行っているのか、実際の事例をご紹介します。

セキュリティ対策の事例：カメラで撮影した個人情報を保護

小売業においてマーケティング調査を行う場合、商品棚のモニタリングや顧客行動など、売場の状況を分析するためにAIカメラを使用して撮影を行うことがあります。

しかし、その画像内に顧客の顔や行動などの個人情報が含まれるケースにおいては、端末からそのままのデータをクラウドに送信すること自体が、個人情報漏洩というセキュリティリスクへと繋がってしまいます。

そこで、AIカメラを活用したサービスを展開している私たちVieureka（ビューレカ）では、個人情報に対するセキュリティ対策として、画像をクラウドへ送信する前に、AIカメラ内で個人が特定されないように人物消去処理やぼかし処理などの加工を実施。安心してマーケティング調査に店内の撮影画像を活用することができる仕組みを構築しています。

この仕組みでは、ぼかし画像を使うことでプライバシーに配慮しながら監視を行うことができるため、小売業だけでなく医療・介護分野における施設の見守り業務においても活用されています。

事例詳細はこちら

セキュリティ対策の事例：AIカメラ内で元データを破棄

出典：ビーコア株式会社様「ミツシル」より

AIカメラで人物を検知し、リアルタイムで通過した人数をカウントすることで密集度を見える化するビーコア株式会社様の「ミツシル」でも、カメラ撮影によるプライバシーへの配慮と情報漏洩対策を兼ね備えたセキュリティ対策を行っています。

人物検知などのAI、画像処理をクラウドサーバで実行する場合、個人情報を含む映像の全てを送信することになるため、個人情報漏洩のセキュリティリスクを伴うことになります。しかし、映像をAIカメラ内で解析処理することにより、その解析結果のデータのみをクラウドに送信。元のデータはカメラ内で破棄されるため、インターネット経由で個人情報が漏洩するリスクを排除することが可能となります。

ビーコア株式会社様の事例詳細はこちら

関連記事：「IoT機器にもセキュリティ対策が必要？セキュリティ対策の手順やポイントは？」

AIカメラの導入ならパナソニック発のVieurekaにご相談を！

パナソニックの研究開発部門から発足した私たちVieureka（ビューレカ）は、「世界の今をデータ化する新たな社会インフラを創造」をミッションに掲げ、開発・導入・運用などのハードルを下げるプラットフォームを提供しています。

高性能なCPUを内蔵したエッジデバイス「Vieurekaカメラ」をはじめ、これまで取得できなかった情報をデータ化して活用する「Vieurekaプラットフォーム」など、お客様のご要望に沿った導入のご提案をさせていただきますので、ぜひお気軽にお問い合わせください。