IoT機器の広がりとセキュリティ

IoT機器と聞いてどんな機器を思い浮かべるだろうか。「機器」という表現が特殊な製品やシステムを連想させるかもしれない。だが、現在はIoT機器ではない機械のほうが少ないのではないだろうか。IoTは「Internet of Things」であり、あらゆるものがインターネットにつながるという意味を含んでいるとしたら、これはむしろ当然の成り行きだ。

PCやスマートフォンを筆頭に、プリンタやコピー機(複合機)、テレビ、電子レンジや冷蔵庫、エアコン、ドアロック、カメラ、おもちゃ、自動車、自動販売機、業務用端末、コンビニ端末(KIOSK端末)、広告看板(サイネージ)、医療システム、工場や発電所や鉄道の管理・管制システムなど。消費財からインフラシステムまで、例を挙げるときりがない。工場システムなどインフラ関連のシステムはSCADA(Supervisory Control and Data Acquisition)、制御システムセキュリティとして分けて考えることが多いが、IoTセキュリティとは共通点も多い。

IoT機器数の増加 (令和4年 情報通信に関する現状報告の概要 第3章 関連データより) https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/image/d03r1190.png

IoT機器数の増加 (令和4年 情報通信に関する現状報告の概要 第3章 関連データより)
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/image/d03r1190.png

IoTセキュリティが重要なのはいまさらいうまでもない。もはや、市民が接するあらゆる製品はサイバー攻撃のリスクを負っていると言っても過言ではないからだ。だが、そのセキュリティを考えるとき、ユーザー視点とベンダー(開発・製造者)視点で分ける必要がある。

IoTセキュリティの特徴

突き詰めていえば、IoT機器だろうがPCだろうがサイバーセキュリティの本質は変わらない。インターネットというオープンな空間に接していることによるリスクと脅威をいかに排除、軽減(あるいは受け入れるか)するかの話である。

IoTの全体像 IoT開発におけるセキュリティ設計の手引き(図2-1) https://www.ipa.go.jp/security/iot/iotguide.html

IoTの全体像 IoT開発におけるセキュリティ設計の手引き(図2-1)
https://www.ipa.go.jp/security/iot/iotguide.html

同様にIoT機器だからといってPCやスマートフォンのセキュリティとで大きく変わるものではない。だが、製品としての作り方や用途・目的の違いに由来する特徴は存在する。以下はIoTセキュリティを考えるとき、PCやスマートフォン、業務サーバーなどと違う点、留意しなければならない点を示す。

  • セキュリティアップデート
  • 製品寿命・交換サイクル
  • 利用場所・環境

最初に留意すべきは、IoT機器はセキュリティアップデートという概念やしくみが浸透していないという点だ。最近では、機器の制御や主たる機能はクラウド上のサービスを利用するものが増え、ソフトウェアアップデートを意識する必要のないIoT機器も増えているが、デバイス側のソフトウェアの更新がまったく不必要になったわけではない。

脆弱性は、クラウド上のサーバーアプリケーションにも、デバイス内のソフトウェアにも存在しうる。OSやPCアプリケーションと同様にソフトウェアアップデートは重要である。また、家電製品のソフトウェアはファームウェアとして装置内の不揮発性のメモリ(SSDやフラッシュメモリ)に保存されていることが多い。適切なリモートアップデート機能がないと、脆弱性が発見されても改修のしようがない。さらに古い機器だと、マスクROMなど書き換え不能なデバイスにプログラムを保存していることがある。このようなシステムでは、本体ごと交換する必要がある。

製品寿命や製品の買い替えサイクルも多様である。PCやスマートフォンも個人利用、企業利用や購入方法(リース、格安プラン利用)などによって変わってくるが、家電からインフラシステムまで含まれるIoT機器は、一元的な管理ポリシーではカバーしきれない。セキュリティ視点では、購入・導入時にどれくらいの期間使うものなのか、持たせたいのかの見当をつけておきたい。メーカーの保証期間やサポート期間が過ぎた製品は安全に利用できないかもしれないからだ。

利用環境や用途も多岐にわたる。屋外に設置されるIoT機器の場合、アップデートやメンテナンスのしやすさは重要だ。リモートアップデートが不可能な機器、管理されず放置された機器は、踏み台や攻撃ポイントとして悪用されやすい。

これらを踏まえて、具体的な注意点、事例をユーザー視点、ベンダー(開発・製造・販売)視点にわけて解説する。

ユーザー視点

IoT機器は、エンドユーザーがそれと意識していない場合が少なくない。代表的なものには家庭用のブロードバンドルーターがある。ルーターをIoT機器に分類するかどうかは専門家の意見も分かれるところだが、PCやスマートフォン以外でインターネットに接続している機器である。一般家庭におけるインターネット境界に位置し、境界防衛の要と言える機器だ。

外付けハードディスクの一部はNASの機能を持っていたり、インターネットからアクセスできる機能を持っていることがある。テレビもインターネット接続機能を持っている。積極的にインターネットテレビとして使わなくても、自動的にWi-Fiにつながるようになっていたり、設定時にインターネット接続していたのを忘れていたりもする。

家庭用もしくはエンドユーザー向けのIoT機器では、まずそれがインターネットに接続されているという点を忘れないことだ。次に注意すべき点は、これらの機器のアカウント管理である。ブロードバンドルーターなどは設定用に管理者アカウントを持っている。管理画面は外部からアクセスできないようになっているが、デフォルト(admin/adminなど類推可能な設定)のアカウント・パスワードは変更しておく。

クラウド接続が前提となっている機器は、セキュリティアップデートが必要になれば通知を送ってユーザーに実行を促す。フルリモート操作で行われユーザーは意識しないでよい製品もある。だが、古い機器はメーカーサイトからパッチをダウンロードして自分で更新しなければならない場合もある。さらに古い製品は、そもそもファームウェア、ソフトウェアのアップデート方法が存在しないこともある。そういった製品は買い替えるしかない。

IoT機器のセキュリティアップデートについて、正直なところユーザー側にできることは少ない。最低でも、その製品のセキュリティアップデートがどうなっているのかは把握しておきたい。クラウドセキュリティにおけるポスチャマネジメント(設定ミス等の検知・管理)のような考え方で製品管理を行ってもよい。

製品を廃棄するときにも注意が必要だ。機器に保存された設定情報の初期化・削除は基本として、ログデータ、各種の保存データの削除など、適切な廃棄処理を行う。IoT機器には顔写真や個人の記録データなど、個人情報保護法の規制をうけるデータが含まれることがある。コロナパンデミック後に廃棄され中古市場に出回ったサーモグラフ体温計に顔写真データが残っていた、リースバックされた製品に企業イントラネットのログインエージェントが残っていた、という問題も報告されている。

ベンダー視点

ユーザー側にできることが少ない分、IoT機器のセキュリティでは、ベンダーやメーカーの責任は重い。製品やサービスの企画段階、設計段階からセキュリティアップデートやサイバー攻撃対策、出荷後のインシデント対応を考慮しておくことが重要だ。「セキュリティバイデザイン」を製品開発サイクルに組み込んでおくことだ。

自社開発するコードについて、バッファオバーフロー対策やアクセス制御のテストなどを開発基準として決めておく。出荷前のセキュリティ診断を行う。オープンソース、市販ライブラリやモジュールを使う場合、それらの脆弱性情報を管理できるようにしておく(SBOM)。脆弱性を入れ込まない施策が必要だ。

出荷後のセキュリティも考える必要がある。家電や自動車でもセキュリティアップデートを前提とした機器設計、サービス設計が求められている。保守部品を用意しておくだけではアフターサービスは万全とはいえない時代だ。

出荷前の対策に加えて、出荷後の対策・対応を行うため、製造業ではPSIRT(Product Security Incident Response Team、ピーサート)を構築するところが増えている。脆弱性情報が公開された場合、それが自社製品にどのような影響を与えるか。それを総合的に評価する。セキュリティアップデートが必要な場合、その実施手順や方法を検討する。専門的に対処しなければならない点が多く、PSIRTのような部署が役に立つ。

家電製品やハードウェア製品の脆弱性は、ユーザーからの不具合報告・事故から発見される場合がほとんどだった。だが、製品がソフトウェア、インターネット、クラウドに依存するようになると、外部機関(業界ISAC、JPCERT/CC、NISC他)からの通報や報告によって発覚することもある。公開される脆弱性情報も随時検証する必要がある。

ソフトウェアやIoT機器の場合、これに加えてハッカーやセキュリティ研究者からの脆弱性報告にも目を向ける必要がある。これらの報告は、未知の脆弱性であることがほとんどだ。通報を受けた企業は、内容を精査しセキュリティアップデートなどで修正対応をする必要がある。内容によってはCVE(共通脆弱性識別子)番号を取得してセキュリティパッチや改善策とともに情報公開(脆弱性ハンドリング)を行う。

ハッカーや研究者からの報告について、専門の窓口を設ける企業もある。コンテスト形式にしたり賞金を募ってバグや脆弱性情報の提供を受け入れることで、未知の脆弱性をいち早く発見するためだ。

IoT機器はエンドユーザーと紐づくものも少なくない。ヘルスケア関係のIoT機器では、機微な情報や生体情報をやりとりする場合がある。厳重な保存(アクセス制御、暗号化)は当然として、メッセージのエンドツーエンドでの暗号化も考える。

IoT機器のセキュリティについては、製品や分野ごとに考慮すべき問題が多い。詳細は「IoT開発におけるセキュリティ設計の手引き」(IPA)などを参考にセキュアな製品・サービス開発をこころがけてほしい。

参考:令和4年 情報通信に関する現状報告の概要
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf3r1000.html

<「中尾真二のセキュリティ解説」 前回リンクと次回予告 >

IoT クラウド セキュリティ セキュリティアップデート
著者プロフィール

中尾 真二(なかお しんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。