理想のIoTサービスをいち早く実現する クラウドAI・IoTソリューション Microsoft Azure

理想のIOTサービスをいち早く実現する
クラウトAI・IOTソリューション
Microsoft Azure
Cloud AI ・IoT ソリューション Microsoft Azure
  1. IoTトータル
    ソリューション
  2. クラウド AI・IoT ソリューション
    Microsoft Azure
  3. Microsoft Azureコラム
  4. クラウド時代に求められるIoTのセキュリティ対策とは?
2020/11/17

Writer:手戸 蒼唯(てど あおい)

クラウド時代に求められるIoTのセキュリティ対策とは?

IoTは今後さらに、ビジネスや人々の暮らしに不可欠なものとなります。しかし、IoTによって仕事や私生活がこれまで以上に便利になる一方で、サイバー攻撃などのリスクに対抗するセキュリティも意識しなければなりません。そこで今回は、IoTを導入する際に意識すべきセキュリティとクラウドの関係性を確認しながら、サイバー攻撃の具体例やIoTのセキュリティ対策について解説します。

IoT導入で意識すべきセキュリティ

本コラムで解説する「IoT」については、「IoTとは?モノとインターネットの全体像や活用シーンを分かりやすく解説」をご参照ください。

IoTは、モノがインターネットに接続されることから、サイバー攻撃の対象になることを前提にセキュリティ対策をしなければなりません。特に、IoTシステムを管理・制御するインフラをハッキングされると、重要データの流出だけでなく、IoTデバイス停止のリスクや踏み台に利用されるなどの恐れがあるからです。

もし、企業や工場内のIoTインフラがハッキングされて製造ラインが停止すれば、企業にとって機会損失や賠償責任、風評被害など大きな被害となりえます。また、防犯カメラがハッキングされれば、社内の様子や機密情報などをインターネット上に晒される危険性があります。扉や窓の制御を失えば、勝手にロックを開けられてしまい、物理的な被害も想定されます。

IoTの特徴として、導入するセンサー搭載のデバイスやIoTゲートウェイは、パソコンやスマートフォンなどのデバイスとは違い、長期的に稼働することが考えられます。

例えば、スマートフォンなどは買い替えやソフトウェアのバージョンアップ、あるいはOSの再起動などが比較的短期間で行われ、最新のセキュリティに保たれるのが一般的です。しかし、IoTデバイスは、関係する機器への影響などを考慮し、バージョンアップを固定して長時間稼働し続けることが多いため、脆弱性を突かれてマルウェアに侵入されていても気が付かないケースがありえます。

IoTへのサイバー攻撃で具体的に何が起こるのか

それでは、IoTへのサイバー攻撃では、具体的にどのような被害が想定されるのでしょうか。

例えば、IoTデバイスを乗っ取られた場合、内部の従業員にしかできないはずの制御を外部から行えるようになり、自社内だけではなく、その他の企業や個人にも被害が及ぶ可能性があります。

IoTを経由した大規模なDDoS攻撃の具体例

IoTを利用した攻撃について、有名な実例を見ていきましょう。

ここで紹介するのは、無数のIoTデバイスをbot化して大規模なDDoS攻撃がなされたという事例です。

DDoS攻撃は大量のアクセスを行うことでシステムの処理能力を超えさせるもので、この攻撃を受けるとサービスが停止に追い込まれるなどの被害が出ます。攻撃者(大量のアクセス)が多いほどその影響は甚大なものになるわけです。

2016年10月、特定のDNSサーバーに対して無数のIoTデバイスからのDDoS攻撃があり、企業のサービスにアクセスしにくくなるという障害が発生しました。

このサイバー攻撃は、IoTデバイスが「Mirai」というマルウェアへ感染したことが原因です。マルウェアに感染したIoTデバイスは10万台を超え、それら感染した機器から1つのシステムへ一斉に攻撃されてしまいました。

攻撃されたDNSサーバーはシステムダウンし、そのDNSサーバーを利用していたインターネットサービスやニュースサイトなどは大きな被害を受けました。この攻撃には、1,000万ものIPアドレスが攻撃に参加していたことが分かっています。

なお、この「Mirai」の亜種が2016年11月にヨーロッパのテレコム会社が顧客に配布したルーターをダウンさせたことにより、90万ユーザーに接続障害が出て、被害総額は約200万ユーロにのぼりました。

サーバーやパソコンと同じようにIoTデバイスもインターネットに接続しますので、未知のサイバー攻撃は今後も増えていくといわれています。IoT導入時にはセキュリティへの意識を高める必要があります。

IoTを安全に活用するための対策

では、IoTを安全に活用するためにはどうすればよいのでしょうか。

企業で利用されるIoTシステムは、サーバーとIoTデバイスの両方でのセキュリティ対策が必要です。

まず知っておくべきことは、次々と新しい攻撃手法が登場するサイバー攻撃を完全に防ぐことは不可能であり、攻撃に対するセキュリティは、いわば"いたちごっこ"だということです。完全に防ぐことを目指すのではなく、被害にあう可能性を最小限にし、攻撃された際は被害を最小限にするよう対策していくことが大切です。

それでは、IoTを活用する上で最低限知っておきたいセキュリティ対策を確認していきましょう。

信頼できるクラウドを利用する

少なくとも最新のセキュリティ対策が施されていれば被害にあうリスクを最小限にすることができますが、自社でセキュリティ対策をすべて行うのは費用面でもリソース面でも容易ではありません。そこでクラウドサービスを利用するという選択肢が選ばれるようになってきました。

クラウドであれば、提供会社が常に最新のセキュリティ対策を実施しているため、利用者は自社で意識することなくサーバーを守ることができます。ただし、セキュリティ対策も含めた管理をクラウド事業者に委ねることになりますので、提供されているサービスのセキュリティ水準を十分に確認して、信頼できるクラウド事業者を選択することが重要です。

IoTデバイスやサーバーのアップデートを怠らない

信頼できるクラウドサービスを利用することでクラウド側のサーバーは守ることができますが、自社側のIoTデバイスのセキュリティ対策は別に必要です。

既知の攻撃への対策として有効な手段のひとつが、常にソフトウェアやファームウェアをアップデートしておくことです。

IoTデバイスやサーバーがハッキング被害に遭う原因として、ソフトウェアやファームウェアの脆弱性が挙げられます。インターネット接続を前提とするIoTデバイスやサーバーのソフトウェアやファームウェアアップデート作業は、怠ってはなりません。脆弱性の発見や報告があった場合には、提供するメーカーからソフトウェアや機器のファームウェアの更新ファイルが提供されますので、それらの情報を定期的に入手するなどしてアップデート作業を徹底してください。また、インターネットに対してエンドポイントとなるルーターが存在する場合には、これもアップデートすることを忘れてはいけません。定期的なアップデートと緊急パッチ適用のルールを定めておくことが重要です。

ただし、製造現場や出荷後の製品など、簡単にアップデートができない場合は、別にセキュリティ対策をする必要があります。詳しくは「工場における課題とWindows 10 IoT Enterpriseによる解決」や「ゼロデイ攻撃や高度な脅威対策ホワイトリスト型セキュリティ」を参照ください。

IoTゲートウェイなどを経由してインターネット接続

センサーを搭載したデバイスには、ネットワークにつなぐための機能が備わっているものもありますが、単体で直接インターネットへ接続することは避けるべきです。そこで重要なのが、セキュリティ対策をしたIoTゲートウェイを経由してネットワーク接続をすることです。

例えばクラウドで提供されているゲートウェイサービスを利用することも、セキュリティを高める手段の1つだといえます。

複雑化する攻撃への対応

McAfee Labsの2020年7月の発表によると、1分あたり375件のマルウェア脅威が発見されています(2020年1~3月)。このうち、従来の脅威検索では発見が難しいファイルレスの攻撃(PowerShell マルウェア)は前の3ヶ月と比べ689%(前年比だと1,902%)増加しており、攻撃が複雑化していることが伺えます。

発見された脅威のうち修正プログラム(パッチ)が公開される前の攻撃はゼロデイ攻撃(未知の脅威)と呼ばれ、100%防ぐのは難しいとされています。

クラウドへの脅威を業界フォーカスでみると「輸送/物流」「教育」で1,000%以上、「政府」「製造」で約700%増加しています。(2020年1月から4月)

IoTセキュリティを考慮検討する際には、自身の業界での脅威傾向をもみつつ、クラウド提供企業に任せてもよい部分、自社で対応すべき箇所を把握し、どこまで対策をすべきか検討する必要があるでしょう。

総務省が2020年に義務化した項目

IoTでは、さまざまな機器がインターネットに接続されることから、不正アクセスによる被害の規模も膨大なものになることが予測されます。

そこで総務省は、IoTデバイスの製造業者に対する「最低限のセキュリティ対策」を打ち出しました。それが、2020年4月1日に施行した「端末設備等規則(省令)の改正概要」です。

総務省が義務化するものは、「電気通信の受送信に係る機能を操作することが可能な端末設備」についての最低限のセキュリティ対策です。それには以下3つが明記されています。

  • アクセス制御機能
  • 初期設定のパスワードの変更を促す等の機能
  • ソフトウェアの更新機能

IoTに対応する機器やソリューションを含め、これら3つの機能を確実に実装することが規則化されました。

総務省が義務化した項目の詳細については「IoTの普及に対応した通信ネットワークの技術基準等に関する政策動向」にて詳しく確認できます。

企業から選ばれるAzure のセキュリティ

IoTシステムは、クラウドサービスを活用して構築することで、セキュリティ対策の管理コスト削減と信頼性向上が期待できます。

中でも、マイクロソフト社が提供するIoT向けのクラウドサービスである「Azure IoT」は、政府や金融機関など特にセキュリティ基準が厳しい業界を含め、世界中の多くの企業が採用しています。

マイクロソフト社はクラウド事業に大きな力を入れており、例えばクラウドセキュリティについては、年間10億ドル以上を投資し、3,500人以上の従業員がセキュリティを専門に従事しています。また、IoT分野については、2018年からの4年間で50億ドルを投資することを発表しています。Microsoft Azureについては、「Microsoft Azureとは」や「IoTに最適なMicrosoft Azure」もご参照ください。

Azureは、IoT関連のサービスが多く提供されているだけでなく、セキュリティ対策の観点でも検討すべきソリューションといえるでしょう。

まとめ

IoTは、私たちの暮らしや仕事を便利にする技術であり、今後確実に身近なものとして広がっていくでしょう。

しかし、そこで徹底すべきはIoTデバイスや、それを支えるインフラのセキュリティです。オンプレミスでのインフラ構築も可能ですが、セキュリティ面だけを見ても、自社で高水準なセキュリティを常に保ち続けることは非効率だといわざるを得ません。

クラウドでは多くのIoT向けサービスが提供されています。セキュアなクラウドサービスを利用することは、IoTシステム構築にとって最善の方法だと考えられます。

なお、IoT導入では、IoTデバイス、クラウド、エッジコンピューティングの理解が欠かせません。IoTの基礎知識としてぜひ確認しておきましょう。
それぞれに、「IoTデバイスとは?種類や活用事例を分かりやすく解説」「クラウドはまだ早い?オンプレミスとの違い、メリットとデメリット、エッジコンピューティングとの関係を徹底解説」「エッジコンピューティングとは?なぜIoT・AI時代に不可欠とされるのか、そのメリットを解説」にてご紹介していますのでこちらもご参照ください。

関連資料

IoTの概要と特徴が分かる!IoTの活用に欠かせないエッジコンピューティングも解説(IoTの理解度チェックリスト付き) e-Bookダウンロード