2017年8月31日技術ブログ

IoTの特性から考えるセキュリティ

IoTが急速な成長を遂げています。今後、システム構築やサービス提供のなかでIoTを活用する機会が増えていくことは必至です。IoTのどのような特性を踏まえて、セキュリティ対策を考えればよいでしょうか。

IoT機器が利用され大規模化するサイバー攻撃

IoTの市場規模は、2020年にかけて年間平均成長率が16.9％、2020年には13兆7595億円に拡大すると予測され(※1)、2020年に接続されるデバイスの数は200億とも500億とも言われています。多くの企業がIoTを活かしたビジネスモデル変革に取り組む一方、IoTを導入または導入検討中の企業の1/3が自社の設備や製品をネットワーク接続することに不安を感じています(※2)。IoT導入におけるセキュリティ対策について考えます。

2016年9月、セキュリティ関連の情報を提供するブログサイト「KrebsOnSecurity」が、620GbpsのDDoS攻撃を受け、24時間に渡りダウンしました(※3)。対処にあたったAkamai社は、今回の攻撃を「これまで見たことのない」大規模なものであったと報告しています(※4)。9月にはホスティングサービスを提供する仏OVH社が(※5)、続く10月にはDNSサービスを提供する米DYN社が大規模DDoS攻撃を受けました(※6)。

いずれも、何者かにハッキングされたウェブカメラやデジタルレコーダーなど、インターネットに接続されたIoT機器で構成されたボットネットによるもので、その数は約14万5千台と推測されています(※7)。

さらに、米FCA社が同社の自動車をハッキングされ140万台のリコールを実施した例や(※8)、ジョンソン・エンド・ジョンソン社が、自社開発の遠距離インスリン投与注射器のインスリン量をハッカーにより操作される危険性を発表した例(※9)の他、工場のサーバやパソコン、制御システムがサイバー攻撃やウイルス感染を受け、操業停止や製品リコールに至る(※10)など、事業の存続に影響を及ぼす事例も報告されています。いずれも、セキュリティ対策が不十分なIoT機器が一因です。

※1 2015年の国内IoT市場は、前年比15.2％増の6兆2232億円に
http://itpro.nikkeibp.co.jp/atcl/news/14/110601779/022300509/?rt=nocnt（外部リンク）
※2 MM総研「IoTの国内市場規模調査」
https://www.m2ri.jp/news/detail.html?id=33（外部リンク）
※3 KrebsOnSecurity Hit With Record DDoS
https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/（外部リンク）
※4 Akamai kicked journalist Brian Krebs' site off its servers after he was hit by a 'record' cyberattack
http://www.businessinsider.com/akamai-brian-krebs-ddos-attack-2016-9（外部リンク）
※5 仏OVH社CEO Octave Klaba氏Twitter "Last days, we got lot of huge DDoS."
https://twitter.com/olesovhcom/status/778830571677978624（外部リンク）
※6 米DNSサービスに大規模DDoS攻撃で米国でTwitterやSpotifyが長時間ダウン
http://www.itmedia.co.jp/news/articles/1610/22/news024.html（外部リンク）
※7 仏OVH社CEO Octave Klaba氏Twitter "This botnet with 145607 cameras/dvr."
https://twitter.com/olesovhcom/status/779297257199964160（外部リンク）
※8 クライスラー、ハッキング対策で140万台リコール
http://www.nikkei.com/article/DGXLASGM25H19_V20C15A7MM0000/（外部リンク）
※9 ハッカー攻撃、糖尿病患者も殺害のターゲットにできる
https://jp.sputniknews.com/life/201610082872910/（外部リンク）
※10 つながる工場・組込機器向けセキュリティソリューション
https://www.trendmicro.co.jp/jp/business/solutions/smartfactory/index.html?cm_mmc=bzmk-_-smartfactory-_-yahoo-_-listing_a（外部リンク）

従来のシステムを構成する機器とIoT機器とのちがい

まず意識すべきなのは、IoT機器の多くがインターネット接続する前提で設計されていないという点です。IoT推進コンソーシアム・総務省・経済産業省が公開した「IoTセキュリティガイドラインVer.1.0」(※11)では、IoT特有の性質を6項目あげていますが、従来のシステムと比較して特に顕著な特性を3つご紹介します。

1）脅威の影響範囲・影響度合いが大きい
ひとことにIoT機器といっても、対象は自動車、家電、医療器具、工場の制御機器とさまざまで、サイバー攻撃の影響範囲も情報漏洩から生命の危険まで広く考えられます。同じ仕様で世の中に大量に出回る機器もあり、1台がサイバー攻撃を受けた場合、容易に大規模な被害に拡大する可能性を想定しておく必要があります。

2）機能・性能が限られている
各IoT機器はコストの都合上、最小限のハードウェアリソースしか積んでおらず、十分なアクセス制御や暗号化対策が後付けで行えない場合があります。また、医療機器のように、機器の変更が認可上難しい場合もあります。

3）ライフサイクルが長い
数年で更改されるサーバやPCと異なり、自動車や工場の制御機器は使用年数が10年～20年に及ぶものもあり、時間の経過と共に、システム構築時のセキュリティ対策では不十分となった状態で接続され続ける可能性があります。

これらの特性を踏まえた上で、IoTセキュリティ対策のポイントを考察します。

IoTシステムにおけるセキュリティ対策のポイント

内閣サイバーセキュリティセンターは「安全なIoTシステムのための一般的な枠組」(※12)で、セキュリティの三原則（機密性・完全性・可用性）に安全性を加えた4要件を提示しています。

1）機密性
認可された個人やプログラムだけが機器にアクセスできるようにすることです。デフォルトの認証情報の定期的な変更や適切なアクセス権の設定が必要です。IoT機器単体での対策が難しい場合は、通信の暗号化やホワイトリスト制御など、システム全体もしくは上位の機器での対策が必要となります。

2）完全性
機器が持つ情報を正確および完全な状態で維持することです。IoT機器は単機能ゆえにコマンドが容易に類推できたり、Linuxベースの汎用的な仕組みが利用されていたりします(※13)。中間者攻撃により偽コマンドで乗っ取られる、偽情報でデータを破壊・改ざんされる、サービス妨害を受ける等への防止・検知対策が必要です。

3）可用性
必要時に情報や関連の資産へのアクセスを確実にすることです。システム全体では、従来と同様、電源対策やシステムの二重化、バックアップの実施、災害復旧計画の立案などが重要です。またIoT機器が不要となった際の適切な廃棄についても検討が必要です。

4）安全性
IoT機器とインターネットが接続される影響を考慮せねばなりません(※14)。それぞれの安全基準やセキュリティ基準、法令や慣習を理解し、繋がることで生じる影響や変化、リスクを考慮した設計・運用を検討する必要があります。

このように、IoTシステムで考慮すべきセキュリティ対策は、従来のITで構成されるシステム部分では、認証によるアクセス制御、通信経路やデータの暗号化、改ざん検知など、これまでと同様の対策が有効です。ただし構成機器であるIoT機器については、数が多く個々のリソースが少ないという制約から、その特性に応じ従来と違うソリューション・サービスを導入する必要があり、関連商品も拡充されていくものと予想されます。

例えばパナソニックは、IoT機器に対してPC並のセキュリティを実現できる軽量、高速な暗号・認証モジュールを発表しました。なりすまし行為の防止や、サイバー攻撃検知・分析が可能なセキュリティ対策のサービス基盤の提供も同時に発表されています(※15)。

さいごに

IoTの対象であるモノは多岐にわたり、さらなる増加が予想されます。一方でIoTは発展途上で、伴うリスクも不可分です。サイバー攻撃による被害も生じており、今後、被害の拡大も懸念されています。先見性をもって、成長するIoTを正しく理解・コントロールし、利便性と信頼性を両立したIoTを実現していきたいと考えます。