IoTの普及に伴いさまざまな機器がインターネットに接続されつつあるが、すべての機器がインターネットに接続されることを前提に開発されたものではない。そのため、従来の利用シーンやシステム構成では考慮する必要がなかったセキュリティ上の問題に直面している機器も存在している。

例えば昨年、WebカメラなどのLinuxベースのIoT端末を狙うマルウェア「Mirai」が世間を騒がせたことは記憶に新しい。では、インターネットに接続された機器(=IoT機器)に関する最近の脅威とは果たしてどのようなもので、そうした脅威に対し、どういった対策を打つべきなのか。

今回、我が国におけるサイバー攻撃等の国際連携対応調整事業を実施する、JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ マネージャー 情報セキュリティアナリストの洞田慎一氏と、同 制御システムセキュリティ対策グループ 担当リーダー 情報セキュリティアナリストの阿部真吾氏に話を聞いた。

「IoT」で一くくりにせず、まずはユースケースで分類を

企業の間でのIoTセキュリティに関する平均的な見解について、阿部氏は次のように分析する。

JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 担当リーダー 情報セキュリティアナリスト 阿部真吾氏

「多くの企業などから話を聞いていて感じるのが、"IoTは怖い"と言われるものの、『どこが怖いのかよくわからない』『そもそもIoTの定義自体が今ひとつわからない』といった困惑が見受けられるということです。そもそもIoTのような取り組みは、"うちもやらねば"という着手したばかりの段階にある組織が多いと思われます。セキュリティの問題は具体的な問題として見据えることができない、というのが正直なところではないでしょうか」

こうした状況を踏まえたうえで、阿部氏はIoTセキュリティの考え方ついて、「何がIoTならではの脅威であり対策であるのか」という観点を持つことがポイントになると指摘する。

「IoT機器にはさまざまなものがあります。専用のソフトウェアやプロトコルなどが実装されているものもあれば、Linuxなどの汎用OSから構築されるものもあります。昨年、マルウェア『「Mirai』が話題になりましたが、その感染対象の多くはLinuxにより構築されたものです。感染するマルウェアは従来のLinuxを対象としたものと似通った形になりました。そのため、MiraiがIoT機器に対する脅威のすべてである、と短絡的に考えることは危険です。実際には、既存のマルウェア対策だけでなく、機器の特徴や利用シーンに応じた対策が必要となるのです」

IoTを理解するための第一歩として役立つのが、十把一からげで語られる傾向にあるIoT機器について、時代を軸にはっきりと分類することである。

IoT機器の分類 資料:JPCERT/CC

具体的には、用途と新規性の2つの軸で、機器を分類するといくつかのブロックに分けて考えることができ。

まず1つは、過去から存在するIoT機器であり、ここにはPCなどエンドポイントの端末や、ルータなどのネットワーク機器が含まれる。これらは広義のIoTと言えるだろう。次が現在のデバイスで、ネットカメラ、テレビ会議、複合機などといった、今日広くIoT機器として認識されているものとなる。そして最後が、これから普及が加速する未来のデバイスであり、ウェアラブル端末やスマート家電、自動車といった主に個人で使用するものや、社会インフラ、組織で利用するものとして太陽光発電、各種制御システムなどが含まれくる。

これらの分類を基に、IoT機器ごとの脅威を考えることが、IoTセキュリティを検討する上での第1歩となる。

「工場の制御装置から個人のウェアラブル端末やスマートテレビまで、IoTの幅は非常に広いですし、扱う場所によってもセキュリティの重要度は変わってくるでしょう。そのため、"IoT"という分類ではなく、それぞれのユースケースに応じた脅威と対策といったように、切り替えが求められてくるのです。JPCERT/CCはIoT機器とひとまとめにせず、"インターネットに接続された機器"と表記し、いくつかの具体例を併記するようにしています」(阿部氏)