IoTセキュリティで着目すべき重点分野：Computer Weekly製品導入ガイド

ITリーダーはインターネット接続機器のセキュリティ対策を優先課題としなければならない。着目すべき重点分野に絞って解説する。

[Jeff Pollard，Computer Weekly]

　過去2年間、モノのインターネット（IoT）セキュリティに関するメディアの注目は、“コネクテッドカー”やウェアラブル機器、スマートホーム機器といったIoT機器への具体的な攻撃に絞られてきた。そうした事案は特定機器のもろさに脚光を浴びせ、IoTセキュリティの重要性について認識を高めてもらう一助にはなった。しかし、セキュリティ上の課題の全容を描くことはできていない。

Computer Weekly日本語版　7月19日号無料ダウンロード

• Computer Weekly日本語版　7月19日号：WannaCryはランサムウェアキラーか？

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　ITセキュリティ責任者は、担当者が2つの戦略的IoTユースケースに直面するという認識を持つ必要がある。すなわち、コネクテッドデバイスとコネクテッドビジネスプロセスがそれぞれ社内に存在し、IoTの普及を促す。

　セキュリティ責任者が組織を横断して向き合うIoTユーザー、メーカー、運用者は、全てが特定のユースケースを持つ。そうしたステークホルダーは個々に業務やバーチカルユースケースを取り仕切り、それぞれが一層のカスタマイズ性や専門性を必要とする。

　もし、ビジネスプロセスを支えるIoT機器の運用担当者が世界各地に分散していて、インターネット接続の帯域幅が狭かったり限られたりする場合、セキュリティ担当者は本社で専用の無線ネットワーク接続を使っている場合とは別の選択をする必要が生じる。

危険にさらされるコアシステム

　攻撃者は端末だけでなく、コアシステムやアプリケーションを狙う公算が高い。そうしたシステムは、IoT対応機器が生成する大量のデータの収集、標準化、保存を担っている。

　エンドポイント機器の強力なセキュリティ対策も依然として不可欠だが、攻撃者の観点から見ると、機器を制御するアプリケーションを攻撃すれば、何百台もの車載エンターテインメントシステムで構成されたゾンビ軍団を簡単に手に入れて利用できるのに、1台の機器に労力を振り向ける理由があるだろうか。競合相手のサプライチェーンでロジスティクスデータを改ざんすれば出荷予定を混乱させることができるのに、トラック1台を停止させる理由があるだろうか。ユビキタスな接続は、IoTの脅威を何倍にも増大させる。

現実世界を考える

　チップセットやフォームファクター、バッテリー持続時間の継続的なイノベーションのおかげで、人間には耐えられない状況、あるいは危険過ぎる状況にもIoT機器が導入できるようになった。それを導入することで、IoT以前は企業が収集できなかったデータセットやリアルタイムの測定情報を収集できる。

　Cisco Systemsの研究者によると、IoT機器の最大の違いは、新型のコネクテッド洗濯機がコンピュータであるという認識をユーザーが持っていない点にある。IoTは物理領域とデジタル領域を融合させる。

　フィットネスウェアラブル端末をはめて、トラックを1週間に3回走る20代半ばのランナーが、スポーツドリンクの宣伝にとって貴重なことは分かっている。だが犯罪組織が誘拐の計画と実行にそれを利用することも可能だ。

脅威の認識

　IoT機器は顧客の満足度や関心度を高める機会を与えてくれる。だがIoT機器を製造、調達、あるいは使用する企業の最高情報セキュリティ責任者（CISO）にとって、そうした機器は差し迫ったセキュリティ問題を潜在的に呼び込む。その中には、目立ちにくいが極めて現実的な、ファームウェア更新の欠陥という問題も含まれる。

　IoTハッキングに特別なスキルセットは必要ないことを、セキュリティ責任者は理解しなければならない。セキュリティプロフェッショナルはよく勘違いして、IoT機器はあまりに違いが大きいので、汎用（はんよう）コンピュータに比べて（数が少ないという理由で）ハッカーの関心は薄いと思い込みがちだ。

　だが実際には、「RIOT」や「Windows 10 IoT Core」は、IoTアーキテクチャに移植される共通のOSとして存在する。OSがほぼ同一なら、デスクトップに対するハッキングのスキルを応用することは易しい。IoTセキュリティ企業Senrioは、それがどれほど簡単かを次のように描写している。「2年前、2人のインターンの公開プロジェクトを実施した。2人はATMをハッキングし、スマートホームコントローラーやルーターをハッキングした。インターンは全てを1カ月以内にリモートでハッキングできた」。つまり攻撃者はすぐに、成功を収めたランサムウェア戦略を応用してIoT機器をハッキングし、人質に取って稼ぎを上げるだろう。

Computer Weekly日本語版 最近のバックナンバー

• Computer Weekly日本語版　7月19日号：WannaCryはランサムウェアキラーか？

Computer Weekly日本語版　7月5日号　CIOが果たすべき3つの役割

Computer Weekly日本語版　6月21日号　Microsoft帝国からの脱出

Computer Weekly日本語版　6月7日号　Bluetooth 5仕様の真意とは？

物理的、金銭的危険

　IoTセキュリティの失敗は、物的損害と金銭的損失の両方を引き起こしかねない。

　クレジットカード情報や個人情報を引き出して他人に成り済まし、金銭を盗む従来型のハッキングと違って、IoT機器は事実上、個人の健康に影響を及ぼすこともある。2016年8月、サイバーセキュリティ企業のMedSecは、St. Jude Medicalが製造したペースメーカーに脆弱（ぜいじゃく）性を発見した。続いてMuddy Watersは投資家向けの調査報告書でSt. Jude Medicalを非難。患者の安全性への懸念に起因する規制措置の可能性が浮上し、製品リコールや訴訟につながった。

　顧客にも不安が広がっている。例えばForrester Researchのコンシューマーテクノグラフィックス調査では、回答者の64％がIoT機器を使う際の成り済ましについて不安を感じると答えていた。

　IoT機器は環境に制約があり、パッチの適用が極めて難しい。多くのIoT機器は物理的ユーザーインタフェースや画面がなく、更新プログラム適用の必要性や、そのための手順についてユーザーに通知するのが難しい。奇妙に感じるかもしれないが、後何年かすると、近所の人が冷蔵庫を買い替える理由として、キッチンのリノベーションではなく、悪用される恐れがありながらパッチを適用できないソフトウェアが冷蔵庫にあると説明するようになるかもしれない。

　「IoT機器の購入に際して、人々は開発チームのための対価を支払わない。IoT機器の寿命は長い。もしベンダーが1～2年しかメンテナンスをしなければ、残りの寿命が続く間ずっと、ユーザーが自分で何とかしなければならなくなる」。Ciscoの研究者はそう語った。

プライバシー優先

　IoT機器は、プライバシー保護が必要なデータを大量に生成する。深い分析情報を顧客のコンテキストや行動に反映させるため、企業は幅広いデータを収集して共有する必要がある。翻ってSISOは、特に保存されているデータのために、強力なプライバシーコントロールが必要になる。顧客にとっては、企業によってどの程度の幅や範囲でデータが収集され、そして恐らくは収益のために利用されているのかを判断するのが難しい。

　セキュリティリーダーは、データ収集に当たってそのことを説明しなければならない。ユーザーは、データが収集される理由や、企業がそれをどうするつもりなのかを知る必要がある。セキュリティ関係者はまた、どんなデータが収集され、それがどう使われ、共有されるのかをユーザーが管理できるユーザー中心コントロールの重要性について説明できることが求められる。セキュリティリーダーの約67％は、IoT関連のプロジェクトから生じるプライバシー侵害を懸念している。これはCISOにとって、情報を提供され、力を付けたユーザーイニシアチブを支援して直接的な収益に結び付ける絶好の機会でもある。