IoTはIT業界の今年のトレンドの1つだが、新たなビジネスを創出する技術である一方、これまでとは違うセキュリティリスクを抱えている技術として注目を集めている。今回、ウェブルートの製品・技術本部 アジアパシフィック製品技術本部長の本橋裕次氏に、IoTにおけるセキュリティ上の課題、それらへの対処策を聞いた。
課題は、クラウド、インターネット、IoTデバイスの認証情報
まず、本橋氏は、IoTにまつわるセキュリティの課題について説明してくれた。
IoTセキュリティというと、攻撃の対象としてデバイスが真っ先に頭に浮かぶが、本橋氏は「IoTの脅威はデバイスにとどまりません。ネットワークの中継機器、クラウドなど、あらゆるところにあります」と語る。
昨年、DNSサービス「Dyn」が10万台を超えるIoT機器を踏み台にしたボットネット「Mirai」による大規模なDDoS攻撃を受けたことは記憶に新しい。本橋氏は、この攻撃の結果、米国ではAWSなどのクラウドサービスがつながらなくなってしまったことを例に挙げ、「DNSといったネットワークの重要なインフラが攻撃を受けると、AWSのような大規模なベンダーのクラウドサービスさえ使えなくなってしまうのです」と説明する。
本橋氏がさらに危険だと言うのが「世界につながるインターネット」だ。日本は治安がよいと言われているが、同様にネットワークも治安がよいそうだ。なぜなら、ISPがウイルス対策や不正サーバのシャットダウンなどの対策をきちんと実施しているので、無法地帯のネットワークがあまりないからだ。
しかし、すべての国のネットワークがこのように整備されているわけではなく、スパムメールを送信するためのサーバを提供するなど、ブラックマーケットを抱えている国も世界にはたくさんある。そして、インターネットによって、日本にいてもこうした国と即座につながってしまう。
本橋氏は「現在の日本において、こうしたネットワークが整備されていない国と接続することへの対策をとれているとは言えない状況です。というのも、国全体を遮断することは不可能だからです」と指摘する。
加えて、IoTデバイスには、PCとは異なり、安易なアカウントとパスワードのまま使われているという問題がある。今では、日本のIoTデバイスの初期状態のパスワードは複雑になっているが、世界には初期状態の安易なアカウントとパスワードのまま使われているIoTデバイスがたくさんある。そして、こうしたデバイスを踏み台にした攻撃が行われているが、これらを防ぐことは難しい状況だという。
さらに、DDoS攻撃は10Gbps、多い時は何百Gbpsものデータを送信するため、ISPの通信が止まってしまい、ネットワーク全体が不通になるおそれもあるという。
国内を整備しつつ、世界と情報共有しながら対策を
このように、IoTにはさまざまなリスクがあるが、これらを回避する策としてどのようなことが考えられるのだろうか。
本橋氏は、IoTセキュリティへの対策として、「日本国内を整備した上で、世界で情報を共有し、基本的なネットワークのセキュリティが整備していない国に対して積極的に助力していくことが必要」と話す。
また、DDoS攻撃などにおいては、JPCERTなどの第三者機関が中心となって、「どの程度のレベルの攻撃を受けるか想定し、そしてその攻撃を受けた場合、どの程度の被害になるか」といった、サイバー上のハザードマップのようなものを出すと、多くの人に複雑かつ難しいサイバー上の脅威を身近に感じてもらえるのではないかとのことだ。
「情報を出すにあたっては、セキュリティに詳しい人だけがわかるような形ではなく、一般の人がわかるような形で広くアピールしていく必要があります」と本橋氏。
「ウェブルートのようなセキュリティベンダーのほうが、第三者機関よりも情報を持っているのでは?」と聞いたところ、「もちろん当社のようなベンダーのほうが、調査用センサーを世界中のネットワークに配備し、リアルタイムにあらゆるソースから多くの脅威情報を入手しています。ただし、すべてのサイバー上の脅威の背後にある意図の把握が目的ではないので、その部分では公的な第三者機関のほうが進めやすいでしょう」という回答が返ってきた。
そして、本橋氏は「日本のネットワークに危機が生じた時に、どこがアラートを出すのか――今、このようにインフラ全体を誰が守るかという議論が起きています。難しい問題ですが、解決していく必要があります」と指摘する。
「現在、PCの利用者が減り、PCが売れなくなったことで、PCベンダーのビジネスが衰退しています。この原因の1つに、セキュリティがあると考えています。PCを守るためにセキュリティ対策製品を導入すると、動作が重くなり、使いづらくなります。そのため、スマートフォンを使う人が増え、結果として、PCを使う人が減ってしまった。セキュリティがICTの利活用を妨げているわけです。つまり、セキュリティは国家の繁栄を左右する大きな問題と言えます」
同社では、セキュリティ対策製品がPCの動作を妨げることに着目し、「動作の軽さ」を特徴とするウイルス対策製品を提供しており、ユーザーから支持を得ているという。
また、IoTセキュリティについては、「エンドポイント」「ネットワーク」「ゲートウェイ」の3つにフォーカスして、これらを保護する製品を提供している。
例えば、IoTデバイスは大量にばらまかれるため、一つ一つにセキュリティ対策製品を埋め込んでいくことは事実上不可能だ。そこで、IoTデバイスが出すトラフィックに注目して、対策を講じていく。これを実現する製品として、今年2月に「Webroot FlowScape」を発表したという。
同製品は機械学習を利用して、インバウンドおよびアウトバウンド トラフィックに加え、ネットワーク内のさまざまなトラフィック タイプと動作を分析することで、未知の脅威による異常なネットワーク トラフィックを素早く特定することを可能にする。
同製品では、ネットワークトラフィックのペイロードを分析する必要(ディープパケットインスペクション)がないためネットワーク速度に影響を与えないという。
インターネットは瞬時に世界とアクセスできる便利なものではあるが、それは、世界に存在するリスクにも遭遇することを意味する。本橋氏が指摘するように、世界中のネットワークに関わるIoTセキュリティは国家レベルで構築していくべき事案だろう。とはいえ、自社が抱えるデバイスの認証情報を強固なものにするなど、できることはある。情報収集をしながら、自社が攻撃の踏み台になることがないよう、対策を講じていきたいものだ。