あらゆるモノをインターネットに接続する技術をIoTと言います。近年、世界ではあらゆる業界・分野でIoTが浸透しつつありますが同時に問題となっているのがセキュリティの危険性です。
事実、数年前からIoTへのサイバー攻撃による被害が数多く報告されており、早急なセキュリティ対策を求められています。これからもIoTの導入は多くの業界で進んでいきますが実際にどのような対策を求められるのでしょうか?
本記事ではIoTのセキュリティ対策をしないリスク・被害事例・対策方法などを詳しく解説していきます。
IoTにセキュリティは必須?
様々な企業で導入が進んでいるIoTですが、セキュリティ対策は必須であり早急な対策が求められています。
2016年10月に発生したTwitter、Netflix、PayPalといったインターネットサービスに影響を与えた大規模なDDoS攻撃があり、インターネットサービスが停止し、社会経済は大きな被害を受けた事例があります。
この背景には、IoT機器は従来のパソコンやサーバーを守るセキュリティと比較して、守るべきIoT機器の数が多くセキュリティ対策が難しいことが挙げられます。
また、製造業や医療ではIoTの導入が特に進んでいる業界ですが、特化されたIoT機器が導入されておりセキュリティ対策もハードルが高いと言われています。そのため、セキュリティが脆弱であり攻撃を受けやすく被害も大きくなりやすいのです。
IoTの浸透が拡大するにあたってサイバー攻撃の対象にもなりやすく、loTのセキュリティ対策は必須と言えるでしょう。
IoT化の成功事例は下記記事をご覧ください。
IoTのセキュリティが脆弱の場合のリスク
IoTのセキュリティの対策が講じられていない場合、どのようなリスクがあるのでしょうか。下記3点を詳しく解説します。
- 情報の流出による社会的信用の低下
- システムの停止
- 物理的事故による被害
情報の流出による社会的信用の低下
IoTはサイバー攻撃を受けウイルスに感染することで会社のインターネットに接続することが可能になります。
ウイルスに感染した場合、企業のあらゆるサイトに接続が可能になるため情報漏洩を防ぐことはできません。つまり、取引先の顧客情報を取得することも容易になるわけです。
顧客の情報が流出したとなれば自社の信用の低下は免れることはできず、最悪の場合、会社の存続ができないということもあり得るでしょう。
システムの停止
IoTが攻撃を受けた場合のリスクとしてシステムの停止が挙げられます。
サイバー攻撃を受けるとシステムのセキュリティ情報などは全て書き換えられ、システムに入ることは困難になります。
どれだけ優秀なシステム管理者がいたとしてもシステムを復旧するには時間がかかります。その間、会社の生産は完全にストップするため会社の売上も減少してしまう可能性もあるでしょう。
物理的事故による被害
IoTがサイバー攻撃を受けると機器やインターネットの操作は攻撃した側が自由に操作をすることが可能になります。
工場などにある機器の操作も思いのままに動かすことができ、人間が手動で制御することは不可能になります。
産業機器やロボット、自動車などが制御不能となれば、物理的な事故が引き起こされる可能性も十分に考えられるでしょう。
IoTセキュリティの被害事例
ここからは実際に起こったloTの被害事例下記3点を解説します。
- 監視カメラの映像がネット上に公開
- 工場機器の制御不能による生産性低下
- 医療機器のウイルス感染
また、実際に総務省・経済産業省が発表している分野別に見たIoTの脅威事例は以下になります。
カテゴリー | サブカテゴリー | 発表年・会議 | 概要 |
自動車関連サービス | ・コネクテッドカー ・サブシステム |
2015年 Black Hat USA |
インターネットから自動車の遠隔操作を可能とする脆弱性を紹介。自動車のマルチメディアシステムのコントローラのファームウェアを書き換え、CANバス上で不正なコマンドを送信することで自動車のハンドルやエンジン等の遠隔操作に成功。 |
消費者向けサービス | ・ホームエネルギーマネジメント | 2014年 Black Hat USA |
セキュアでないホームオートメーション開発の危険性の一例を紹介。ホテルの部屋にある機器・設備の通信に利用されているKNXnet/IPプロトコルをキャプチャ・解析し、機器・設備を不正な動作を行わせることに成功。 |
産業別のサービス | ・医療 | 2012年 Breakpoint Security Conference |
ペースメーカー及び植込み型除細動器へのハッキングのデモを紹介。植込み型除細動器のワイヤレストランスミッタの脆弱性を利用し、近距離から植込み型除細動器に不正な動作を行わせることに成功。 |
出典:IoTガイドライン
監視カメラの映像がネット上に公開
IoTによるサイバー攻撃の1つ目の事例は監視カメラの映像がネット上に公開される被害事例です。実際に日本国内のカメラ6,000台ほどがネット上に公開されました。ネット上に公開される映像が会社や自宅の中の場合、住所の特定や情報が流出されることになるため2次被害の恐れもあります。
また、監視カメラは河川や山地など自然被害を食い止めるために設置された監視カメラもあります。監視カメラのシステムを乗っ取られると実際に被害が起きたとしても気づくことができず、自然被害を防ぐことが困難になります。
監視カメラの映像の流出被害のほとんどはカメラのパスワード設定が初期の状態のままだと言われています。
工場機器の制御不能による生産性低下
工場機器がウイルスに感染し、制御が不能になる被害事例も起きています。この時の事例としては、製品の品質を測定・管理する機器がウイルスに感染し、不良品を良品として測定しそのまま出荷されるという事態です。
また、工場内の機器が全て停止し操縦ができないといった事例も複数あります。現在の日本では個人情報の漏洩がなければ、関係省庁への報告義務はなく実際に工場への攻撃は報告数より数多くあります。
また、工場をIoT化する際には下記記事もあわせてご覧ください。
医療機器のウイルス感染
医療機器のウイルス感染も被害事例として報告されています。医療機器のウイルス感染は医療機器の停止だけでなく、患者の病名や服用している薬名なども管理されているシステムへの被害もあります。
これらの情報を書き換えられると最悪の場合、多くの患者が亡くなる恐れもあります。
医療機器のウイルス感染は他の業種と比較して、サイバー攻撃による被害事例は少ないものの早急な対策が求められます。
IoTセキュリティの対策方法
loTのサイバー攻撃を防ぐためにはウイルス対策ソフトの活用だけでは不十分と言えます。
ここからは実際にloTの対策方法下記4点を解説します。
- IoTのデータ収集と分析
- 定期的な点検や見直し
- 組織全体での情報共有
- 様々な場面を想定したマニュアル設計
IoTのデータ収集と分析
IoTに関するデータ収集や分析はサイバー攻撃からの対策に非常に有効と言えます。
例えば、実際に被害を受ける業種や機器には似たような特徴があったり、被害を受けた際のセキュリティの脆弱になっている部分にも共通点はあります。
これらのデータを収集し分析をする事で、サイバー攻撃への標的となる傾向が割り出せるでしょう。
定期的な点検や見直し
工場機器やインターネットのシステムにはIDやパスワードがあり、1度設定をするとそのままにされているケースがほとんです。しかし、長い期間放置しておくことでサイバー攻撃を受けやすくなるのです。
なぜなら、日々技術は進歩しておりセキュリティ対策技術が向上するとともに、攻撃をする側もサイバー攻撃技術が向上するからです。毎日点検を行うのは難しいですが1年に1~2回程度は定期的な点検や見直しを行う事でサイバー攻撃を受ける可能性は低くなるでしょう。
組織全体での情報共有
IoTのサイバー攻撃の可能性があることは会社のエンジニアなどだけでなく、組織全体で情報共有しておくことが大切です。
サイバー攻撃の可能性があるということを組織全体で意識できれば、万が一攻撃を受けても早めに気づき対処することが可能です。
また、会社のインターネットでは危険なサイトへはアクセスしないなど社員全員が意識できれば、サイバー攻撃を受ける可能性は低くなるでしょう。
様々な場面を想定したマニュアル設計
サイバー攻撃はどれだけ対策を行なっていたとしても被害を受けることはあります。自社が被害を受けずとも取引先が被害を受ければ自社の情報が流出する恐れもあります。
様々な起こりうる場面を想定して迅速に的確な対応ができるようにマニュアルを設計しておくことで、被害を受けても最小限に食い止められるでしょう。また、作成したマニュアルは随時更新することを忘れないようにしましょう。
IoTのセキュリティ対策を行う際の課題
IoTのセキュリティ対策を行う際には数多くの課題があります。その中でも特に重要とされるのが下記2点です。
- 専門知識を持つ人材の不足
- セキュリティ構築の費用
専門知識を持つ人材の不足
IoTによるセキュリティ対策は単にパソコンを扱えるといった技術では難しく、それなりの専門知識を必要とします。
しかし、専門知識を持つ人材の確保は難しくなっています。理由としては「専門知識を持つ人材がいない」「大手企業へ就職する人材が多い」の2点が挙げられます。
特に専門知識を持つ人が大手企業へ就職する傾向があるのは年々増加しており、中小企業は人材の確保だけでも難しくなっています。これからも大手企業への就職の偏りは大きくなるため、既存の社員を教育するなどの対策が求められます。
セキュリティ構築の費用
IoT機器は1つの機器だけセキュリティ対策を講じても効果は薄く、インターネットで繋がっているモノ全てのセキュリティを強化する必要があります。しかし、セキュリティを構築するにはかなりの費用がかかるでしょう。
また、ソフトだけでなく外部にセキュリティの委託を行えば更に費用はかかります。セキュリティ構築費用が痛手になる場合は徐々にセキュリティを強化していきましょう。
IoTのセキュリティ対策は早急に行おう
本記事ではIoTに関するセキュリティ対策方法や対策をしないときのリスクについて解説しました。
IoTはサイバー攻撃の対象となりやすく技術が発展すればより高度で早急なセキュリティ対策が求められます。常に細心の注意を払い、様々な想定をしておきましょう。IoTのセキュリティを高めたい方、これからIoTの導入を考えている方は本記事を参考に早急に対策を行いましょう。