過去2年間、モノのインターネット(IoT)セキュリティに関するメディアの注目は、“コネクテッドカー”やウェアラブル機器、スマートホーム機器といったIoT機器への具体的な攻撃に絞られてきた。そうした事案は特定機器のもろさに脚光を浴びせ、IoTセキュリティの重要性について認識を高めてもらう一助にはなった。しかし、セキュリティ上の課題の全容を描くことはできていない。
ITセキュリティ責任者は、担当者が2つの戦略的IoTユースケースに直面するという認識を持つ必要がある。すなわち、コネクテッドデバイスとコネクテッドビジネスプロセスがそれぞれ社内に存在し、IoTの普及を促す。
セキュリティ責任者が組織を横断して向き合うIoTユーザー、メーカー、運用者は、全てが特定のユースケースを持つ。そうしたステークホルダーは個々に業務やバーチカルユースケースを取り仕切り、それぞれが一層のカスタマイズ性や専門性を必要とする。
もし、ビジネスプロセスを支えるIoT機器の運用担当者が世界各地に分散していて、インターネット接続の帯域幅が狭かったり限られたりする場合、セキュリティ担当者は本社で専用の無線ネットワーク接続を使っている場合とは別の選択をする必要が生じる。
攻撃者は端末だけでなく、コアシステムやアプリケーションを狙う公算が高い。そうしたシステムは、IoT対応機器が生成する大量のデータの収集、標準化、保存を担っている。
エンドポイント機器の強力なセキュリティ対策も依然として不可欠だが、攻撃者の観点から見ると、機器を制御するアプリケーションを攻撃すれば、何百台もの車載エンターテインメントシステムで構成されたゾンビ軍団を簡単に手に入れて利用できるのに、1台の機器に労力を振り向ける理由があるだろうか。競合相手のサプライチェーンでロジスティクスデータを改ざんすれば出荷予定を混乱させることができるのに、トラック1台を停止させる理由があるだろうか。ユビキタスな接続は、IoTの脅威を何倍にも増大させる。
チップセットやフォームファクター、バッテリー持続時間の継続的なイノベーションのおかげで、人間には耐えられない状況、あるいは危険過ぎる状況にもIoT機器が導入できるようになった。それを導入することで、IoT以前は企業が収集できなかったデータセットやリアルタイムの測定情報を収集できる。
Cisco Systemsの研究者によると、IoT機器の最大の違いは、新型のコネクテッド洗濯機がコンピュータであるという認識をユーザーが持っていない点にある。IoTは物理領域とデジタル領域を融合させる。
フィットネスウェアラブル端末をはめて、トラックを1週間に3回走る20代半ばのランナーが、スポーツドリンクの宣伝にとって貴重なことは分かっている。だが犯罪組織が誘拐の計画と実行にそれを利用することも可能だ。
IoT機器は顧客の満足度や関心度を高める機会を与えてくれる。だがIoT機器を製造、調達、あるいは使用する企業の最高情報セキュリティ責任者(CISO)にとって、そうした機器は差し迫ったセキュリティ問題を潜在的に呼び込む。その中には、目立ちにくいが極めて現実的な、ファームウェア更新の欠陥という問題も含まれる。
IoTハッキングに特別なスキルセットは必要ないことを、セキュリティ責任者は理解しなければならない。セキュリティプロフェッショナルはよく勘違いして、IoT機器はあまりに違いが大きいので、汎用(はんよう)コンピュータに比べて(数が少ないという理由で)ハッカーの関心は薄いと思い込みがちだ。
だが実際には、「RIOT」や「Windows 10 IoT Core」は、IoTアーキテクチャに移植される共通のOSとして存在する。OSがほぼ同一なら、デスクトップに対するハッキングのスキルを応用することは易しい。IoTセキュリティ企業Senrioは、それがどれほど簡単かを次のように描写している。「2年前、2人のインターンの公開プロジェクトを実施した。2人はATMをハッキングし、スマートホームコントローラーやルーターをハッキングした。インターンは全てを1カ月以内にリモートでハッキングできた」。つまり攻撃者はすぐに、成功を収めたランサムウェア戦略を応用してIoT機器をハッキングし、人質に取って稼ぎを上げるだろう。
Computer Weekly日本語版 7月5日号 CIOが果たすべき3つの役割
Computer Weekly日本語版 6月21日号 Microsoft帝国からの脱出
Computer Weekly日本語版 6月7日号 Bluetooth 5仕様の真意とは?
IoTセキュリティの失敗は、物的損害と金銭的損失の両方を引き起こしかねない。
Tableau調査と三井住友海上の事例に学ぶ コロナ禍でも強いデータドリブン組織をどう作るか
データを大切にし、従業員がデータにアクセスしてデータに基づいた経営判断ができる組織...
営業デジタル化の始め方(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...
「RED」「Bilibili」「Douyin」他 中国の主要SNSプラットフォームの特徴まとめ
トレンド変化の大きい中国においてマーケティングを成功させるためには、主要SNSプラット...
ITmediaはアイティメディア株式会社の登録商標です。
