2017年07月26日 08時00分 UPDATE
特集/連載

Computer Weekly製品導入ガイドIoTセキュリティで着目すべき重点分野

ITリーダーはインターネット接続機器のセキュリティ対策を優先課題としなければならない。着目すべき重点分野に絞って解説する。

[Jeff Pollard,Computer Weekly]
Computer Weekly

 過去2年間、モノのインターネット(IoT)セキュリティに関するメディアの注目は、“コネクテッドカー”やウェアラブル機器、スマートホーム機器といったIoT機器への具体的な攻撃に絞られてきた。そうした事案は特定機器のもろさに脚光を浴びせ、IoTセキュリティの重要性について認識を高めてもらう一助にはなった。しかし、セキュリティ上の課題の全容を描くことはできていない。

Computer Weekly日本語版 7月19日号無料ダウンロード

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 ITセキュリティ責任者は、担当者が2つの戦略的IoTユースケースに直面するという認識を持つ必要がある。すなわち、コネクテッドデバイスとコネクテッドビジネスプロセスがそれぞれ社内に存在し、IoTの普及を促す。

 セキュリティ責任者が組織を横断して向き合うIoTユーザー、メーカー、運用者は、全てが特定のユースケースを持つ。そうしたステークホルダーは個々に業務やバーチカルユースケースを取り仕切り、それぞれが一層のカスタマイズ性や専門性を必要とする。

 もし、ビジネスプロセスを支えるIoT機器の運用担当者が世界各地に分散していて、インターネット接続の帯域幅が狭かったり限られたりする場合、セキュリティ担当者は本社で専用の無線ネットワーク接続を使っている場合とは別の選択をする必要が生じる。

危険にさらされるコアシステム

 攻撃者は端末だけでなく、コアシステムやアプリケーションを狙う公算が高い。そうしたシステムは、IoT対応機器が生成する大量のデータの収集、標準化、保存を担っている。

 エンドポイント機器の強力なセキュリティ対策も依然として不可欠だが、攻撃者の観点から見ると、機器を制御するアプリケーションを攻撃すれば、何百台もの車載エンターテインメントシステムで構成されたゾンビ軍団を簡単に手に入れて利用できるのに、1台の機器に労力を振り向ける理由があるだろうか。競合相手のサプライチェーンでロジスティクスデータを改ざんすれば出荷予定を混乱させることができるのに、トラック1台を停止させる理由があるだろうか。ユビキタスな接続は、IoTの脅威を何倍にも増大させる。

現実世界を考える

 チップセットやフォームファクター、バッテリー持続時間の継続的なイノベーションのおかげで、人間には耐えられない状況、あるいは危険過ぎる状況にもIoT機器が導入できるようになった。それを導入することで、IoT以前は企業が収集できなかったデータセットやリアルタイムの測定情報を収集できる。

 Cisco Systemsの研究者によると、IoT機器の最大の違いは、新型のコネクテッド洗濯機がコンピュータであるという認識をユーザーが持っていない点にある。IoTは物理領域とデジタル領域を融合させる。

 フィットネスウェアラブル端末をはめて、トラックを1週間に3回走る20代半ばのランナーが、スポーツドリンクの宣伝にとって貴重なことは分かっている。だが犯罪組織が誘拐の計画と実行にそれを利用することも可能だ。

脅威の認識

 IoT機器は顧客の満足度や関心度を高める機会を与えてくれる。だがIoT機器を製造、調達、あるいは使用する企業の最高情報セキュリティ責任者(CISO)にとって、そうした機器は差し迫ったセキュリティ問題を潜在的に呼び込む。その中には、目立ちにくいが極めて現実的な、ファームウェア更新の欠陥という問題も含まれる。

 IoTハッキングに特別なスキルセットは必要ないことを、セキュリティ責任者は理解しなければならない。セキュリティプロフェッショナルはよく勘違いして、IoT機器はあまりに違いが大きいので、汎用(はんよう)コンピュータに比べて(数が少ないという理由で)ハッカーの関心は薄いと思い込みがちだ。

 だが実際には、「RIOT」や「Windows 10 IoT Core」は、IoTアーキテクチャに移植される共通のOSとして存在する。OSがほぼ同一なら、デスクトップに対するハッキングのスキルを応用することは易しい。IoTセキュリティ企業Senrioは、それがどれほど簡単かを次のように描写している。「2年前、2人のインターンの公開プロジェクトを実施した。2人はATMをハッキングし、スマートホームコントローラーやルーターをハッキングした。インターンは全てを1カ月以内にリモートでハッキングできた」。つまり攻撃者はすぐに、成功を収めたランサムウェア戦略を応用してIoT機器をハッキングし、人質に取って稼ぎを上げるだろう。

物理的、金銭的危険

 IoTセキュリティの失敗は、物的損害と金銭的損失の両方を引き起こしかねない。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news091.jpg

グランドデザインの「Gotcha!mall」がDMA国際エコー賞を受賞
グランドデザインは、同社のスマートフォンオムニチャネルプラットフォーム「Gotcha!mall...

news088.jpg

コムニコマーケティングスイート、Instagramアカウント分析機能を拡張
コムニコは、ソーシャルメディア運営支援ツール「コムニコマーケティングスイート」のIns...

news034.jpg

Salesforce Pardot、「日本語化」だけではない重要な強化ポイントとは?
本稿では「Salesforce World Tour Tokyo 2017」におけるセッション「生まれ変わったPardo...