IoT時代に考えるべきセキュリティ

security

2020年には500億台のモノがインターネットに接続されるということが試算されています。これらのモノへの不正侵入などのセキュリティ脅威は、従来のウェブサーバとクライアントのPCが主であったところと比べて、量的、質的に異なってくるのではと考えられます。

現時点でIoT製品の70%にセキュリティ問題

米HewlettPackard(HP)は7月29日、「モノのインターネット(Internet of things=IoT)」製品のセキュリティに関する調査結果を発表し、調査対象製品の70%にセキュリティ問題が見つかったと報告した。平均すると1製品当たり25件の問題が存在していたという。 調査は同社のセキュリティサービス「HP Fortify on Demand」を利用して、テレビ、Webカメラ、家電コントロール、玄関ドアロックなどのメーカーが販売している普及度が高いIoT製品10種類について、クラウドアプリケーションやモバイルアプリケーションも含めて調査した。 その結果、80%の製品に消費者の個人情報収集に関するプライバシー問題が見つかったほか、パスワードについても、例えば「1234」などの安易なパスワードが利用できてしまう製品が80%を占めた。 インターネットとローカルネットワークとの通信が暗号化されていない製品は70%に上り、60%はWebインタフェースのセキュリティに不備が存在。ソフトウェアアップデートをダウンロードする際に暗号化を使っていない製品は60%を占めた。 l_hp01 (http://www.itmedia.co.jp/enterprise/articles/1407/31/news038.html より)

どのような取り組みがなされているか?

JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)では2014年4月にIoTセキュリティWGを設立しました。シマンテック、アドソル日新、トレンドマイクロ、セコム、NEC、パナソニックなどが参加しています。

iotsecuritywg_001   NRIセキュアテクノロジーズ社は、2015年1月から、400種類以上の機器をカバーする、IoT対応のセキュリティログ監視サービスを開始すると発表しています。

570_bit (http://www.sbbit.jp/article/cont1/28880 より)

どのような脅威があるか?ルータや防犯カメラなどのLinuxをめがけたワーム、侵入可能な生活家電

ルータや防犯カメラ等のOSとしてLinuxが用いられている場合もありますが、そのようなLinux機器を標的としたLinux.Darllozというワームが2013年に発見されたとシマンテックが発表しています。そのようなものが今後広まってしまう可能性はあるでしょう。 ウェブ系の開発を行ってきた会社と組み込み系の開発を行ってきた会社とでは、セキュリティに関する知識が異なる場合が多いでしょう。IoT関連デバイスを作る会社は組み込み系開発の歴史のある会社でしょうが、ウェブ系の場合と同じような高いレベルでのセキュリティ対策の実施は一般的に困難だと考えられます。 また、この記事によると、下記のようなサービスがあり、弱い機器を発見することのできてしまう素地もそろってきています。

「Shodan」という検索エンジンでは、インターネット対応デバイスを検索でき、防犯カメラのほか暖房制御システム、水処理施設、自動車、信号、発電所の制御システムなどを探すことができる。見つかったデバイスが脆弱とは限らないが、Shodanのようなサービスによって、脆弱性を把握している攻撃者は容易に狙いのデバイス見つけられるようになる。(http://itpro.nikkeibp.co.jp/article/COLUMN/20140205/534564/?ST=security&P=2 より)

INAX社のSATISという高給なトイレは、実際にハックして勝手に操作することが可能であることが証明されてしまっています。

article_001 (http://www.dailymail.co.uk/sciencetech/article-2384826/Satis-smart-toilets-Japan-hacked-hijacked-remotely.html より)

 内閣官房情報セキュリティセンターによると下記のようなセキュリティリスクがあります。

nttcom_4

IoT時代に向けて対策は?

シマンテック社によると今後の対策として考慮するべき点は、次の4つにまとめられるそうです。また、サイバー保険に入ることも有効かもしれません。

  • デバイスの保護と収集されるデータのプライバシーを守ること
  • デバイスの多様性と性能面での制限を考慮すること
  • ソフトウェアのアップデート手段を確保すること
  • 収集されるビッグデータの所有権を明確にすること

(http://japan.zdnet.com/article/35057835/ より)

 iotのセキュリティ技術の事例へ⇒

FTCリポートに見るiotのリスクへ⇒

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です