Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

法人向けモバイルサービス

IoTシステムに求められる
セキュリティ対策

IoTの普及が進み、新たなサービス提供を始める企業が増えてきています。しかし一方で、IoT機器に対するサイバー攻撃も増加していることから、これに対するセキュリティ対策が急務とされています。そこで本記事では、企業でIoT管理に携わっている方に向けて、具体的なセキュリティ対策について解説します。

IoT分野でも注目。MVNOからフルMVNOの移行で何が変わるのか

IoTとは?

IoTに関する問題やその対策をご紹介する前に、まずはIoTのことを簡単におさらいしておきましょう。「IoT(Internet of Things)」は「モノのインターネット」と訳されますが、これはつまり「すべてのモノがインターネットに接続される」ことを意味します。

従来では、PCやスマートフォンといった通信機器のみが、インターネットに接続するモノとして捉えられてきました。しかし、IoTが普及し始めた現代においては、従前インターネットに繋げるとは考えられなかったモノまでも、広く接続するようになっています。
アナログ機器であってもデジタル化し、そこから得られる情報を送信して、データ分析や幅広いデータ連携が可能になることで、新たな価値の創造にも期待が寄せられています。

IoTの普及が進む理由としては、以前よりスマートデバイスが流通するようになったことと、デバイスに組み込むセンサー機器のコスト低下が挙げられます。急速に普及したあまり、後述するようなセキュリティ上の問題も増加していますが、今後はさらに利便性の高いサービスの登場が予想されています。

代表的なIoT機器

スマートフォンやGPS搭載のカーナビなどは、従来からあるIoT機器です。これらは市場に大きな影響を与えており、現在においても最も普及しているデバイスといえます。ただ、これらはもとから通信機器の枠内でもあったため、現在は市場の成熟とともに普及が鈍化傾向にあります。

他方、これまで通信が想定されなかった新たな機器が現在伸びており、生活必需品もIoT機器になりつつあります。その例として、エアコンや冷蔵庫が挙げられます。
エアコンをスマートフォンから操作できたり、スマートスピーカーと繋いで音声だけで温度調節できたりするなど、よりその利便性は高まっています。冷蔵庫に関しても、庫内の温度管理がスマートフォン1つでできるようになったり、ドアの閉め忘れを通知してくれたりするなど、IoT機器となることでさらに便利な機能の搭載が実現されています。

IoT時代に求められるセキュリティ対策

上述の通りIoTは、すでに日常生活で使用しているモノの利用価値のさらなる向上に貢献します。しかしその性質上、セキュリティには配慮が必要です。ここでは、IoT時代に危惧されるリスクについて解説していきます。

身近になるほど危険性が増すセキュリティ問題

今やIoTは身近なものになりつつあります。しかしIoTは、インターネット接続を行う性質上、乗っ取りや不正利用などの攻撃対象になりやすいという問題も抱えています。

「独立行政法人 情報処理推進機構(IPA)」公表の「情報セキュリティ10大脅威 2019」でも、その脆弱性を突く攻撃が増加していると指摘されています。業務に支障をきたし、またDDoS攻撃の踏み台に利用されてしまうなどのリスクも、ここで挙げられています。特にIoT機器は、利用者がセキュリティ意識を持ちにくいことから狙われやすいといわれています。
(参照元:https://www.ipa.go.jp/files/000072147.pdf

ほかにも、攻撃を受けても気付きにくい点が問題視されています。そのため、知らない間に被害を受けるだけでなく、加害者になってしまう可能性もあるのです。スマートフォンのように画面があるわけでもないため、攻撃を受けた際の異常の察知が難しく、知らず知らずのうちにボットネットに組み込まれていることがあります。しかも、攻撃に気が付かないため事後対策も取りづらく、未対策のまま放置されるおそれもあるのです。

具体的にはどんな攻撃方法があるのか

IoT機器を扱ううえでは、特にボットネット攻撃に警戒しなくてはなりません。実際、アメリカの大手サーバー会社はDDoS攻撃を受け、大規模な接続障害が発生しています。数千万台ものデバイスがマルウェアに感染し、持ち主の意思とは無関係に、一斉に攻撃を仕掛けさせられてしまったのです。今後もこういった攻撃が起こるのではないかと危ぶまれています。

そのほか考えられる攻撃としては、アカウントの乗っ取りやランサムウェアなどが挙げられます。これらの攻撃を受けた結果、システムを停止させられたり、迷惑メールの踏み台にされたりすると、場合によっては金銭的な実害も生じ得ます。

特に、企業がIoTを導入している場合は、情報漏洩に気を付けなければなりません。勝手に監視カメラの映像を見られるかもしれませんし、ビデオ会議の内容を盗み見られるおそれもあります。

抑えておきたい「IoTセキュリティガイドライン」

以上のような問題を受け、総務省・経済産業省は「IoTセキュリティガイドライン」を発表しました。これはIoTの活用に関して、安全確保のための基本的な取組を明確化し、利⽤者が安⼼できる環境の構築を目的としています。具体的な対策は、以下でご紹介する各指針にまとめられています。
(参照URL:https://www.soumu.go.jp/main_content/000428394.pdf

1. 方針

1つ目の指針「方針」では、IoTの性質を考慮し、基本方針を定めることが重要である旨を定めています。そこで、経営者が先頭に立って対策に取り組むことと、外部のみならず内部で発生する不正にも備えることが必要とあります。

基本方針は、ただ定めて終わりではなく、社内に周知させるとともに継続して実現状況を把握し、適時見直すことも必要です。組織として計画・実施・点検・処置のPDCAを回すことが重要で、そのためには人材整備が欠かせません。

内部不正に関しても、起こり得る危険を認識のうえ、対策を検討します。関係者のミスを防ぎ、万一ミスが生じてしまったとしても迅速に対応できるよう備えるべきと提示されています。

2. 分析

2つ目の指針は「分析」です。こちらは分析を通して、リスクを認識することが重要だと唱えています。

さまざまなモノがつながることになるため、それにより起こり得るリスクをまずは想定します。ほかの機器ともつながるということは、脅威および故障トラブルの影響が広がるおそれがあるということです。特に、セキュリティレベルの低い機器があると、そこを入り口に、システム全体へ悪影響を与えてしまいかねません。
また、デバイスの盗難・紛失による物理的な攻撃も想定する必要があります。同様に、デバイスの廃棄にも十分注意しなければなりません。

そのほか、対策の実効性や事業継続性を確保するためにも、守るべきものの特定が大事ともいわれています。どのような機能を特に守る必要があるのか、具体的にどのような情報を守るべきなのか、あらかじめ特定しておくべきです。

3. 設計

どのようなリスクがあるのかを認識し、守るべきものが特定できれば、そのための「設計」を行います。その際、接続先に被害が広がらないようにすることが重要で、「異常が発生した際にネットワークから切り離す」といった対策の検討も必要とされています。無論、異常や切り離しが起こった場合でも、早期復旧ができる設計にしておかなければなりません。

また、被害の波及を抑えるためには、リスクを完全になくすことを目指すだけでは不十分です。「万が一、不特定の相手と接続した場合でも、安全が確保できる」という観点にもとづいた設計が大事とされています。

4. 構築・接続

「構築・接続」の段階では、脆弱なシステムやサービスにならないための初期設定と、なりすましや不正アクセスに備えた二段階認証や暗号化などが重要とされています。

また当然、機能や用途に応じた適切なネットワーク接続も欠かせません。どのような用途なのか、性能レベルなども踏まえてネットワークの構成およびセキュリティ機能の検討を行い、構築していきます。その際、性能制限によってデバイス単体では十分な対策を施せない場合は、セキュアなゲートウェイを経由して接続するなどの対策を検討します。

5. 運用・保守

5つ目の指針は「運用・保守」に関することです。こちらは出荷およびリリース後に関する対策のことで、安全な状態を維持するため、そして新しい脅威に対抗するために、アップデートの配布や注意喚起を行うことが重要と唱えています。

特に意識しなければならないのは、攻撃手法も日々アップデートされているということです。製品出荷段階では安全だったとしても、のちに大きなリスクを抱えることも起こり得ます。そこで新たな攻撃にも対応できるよう、脆弱性対策を行ったソフトウェアを配布・アップデートする手段が必要なのです。

脆弱性情報を常に収集・分析して、その情報を関係者に随時発信するとともに、脆弱性発見時には該当機器の管理者に対し注意喚起を行います。インシデントへの対応も後手に回らないよう、各関係者の役割を整理しておかなければなりません。

IoT利用に最適化された
NTTコミュニケーションズの
「OCN モバイルONE for Business」なら
セキュリティも安心

IoTは新たな価値創造に資するものであると同時に、セキュリティ対策を講じなければ幅広い関係者に被害をもたらし得るものでもあります。

そのためシステム構築においては、高い機能性を有することに加え、セキュアなサービスの利用が重要です。そこでおすすめしたいのが、NTTコミュニケーションズが提供するモバイル通信サービス「OCN モバイルONE for Business(https://www.ntt.com/business/services/network/internet-connect/ocn-business/mobile)」です。同サービスならIoTへの活用に最適化できるうえ、セキュリティを強化する関連サービスも豊富です。

また、ユーザーのニーズに合わせて容量・オプションの追加や、プラン変更などが自在に操作できます。インターネット接続からモバイル端末まで、保守を一元的に対応してくれるため、ユーザー側が煩雑な作業を行う必要もありません。「OCN モバイルONE for Business」を利用することで、このほかにもさまざまな恩恵が得られますので、ぜひ一度検討してみてはいかがでしょうか。

冒頭でも述べたように、急速なIoTの普及により、セキュリティ上の問題も増加しています。万一にも情報漏洩などが発生してしまうと、企業の社会的信用を損ねかねません。IoTの活用にあたっては、セキュアなサービスを利用するなどして、万全のセキュリティ対策を講じることが大切です。

このページのトップへ