対策が急がれるIoTセキュリティ…押さえるべきポイントはなにか？

組込み機器や重要インフラのセキュリティと共通課題を持つ

海外の家電業界をウォッチしている人には、いまさらに聞こえるかもしれないが、サムスン、LG、ハイアール、ボッシュ、ワールプールといった主だった家電メーカーが、製品のコネクテッド化を急速に進めている。スマートフォンと連携し遠隔操作や監視が可能だったり、Amazon EchoやGoogle Homeで音声操作やクラウド連携機能を競ったり、スマート家電はいまや常識だ。

ビジネス領域でも、業務端末がWi-Fiやモバイルネットワーク経由でインターネット接続するようになって久しい。製造業でもライン上のセンサーやカメラをクラウド接続させ、品質向上や生産管理を効率化する取り組みも活発だ。

これらは、広くはIoTと呼ばれる分野だが、産業機器から家電製品まで、クラウド（インターネット）につながるようになった。必然的に、メーカー、SIer、ソリューションベンダーは、ビジネス向けコンシューマー向けを問わずIoT対応が迫られる。だが、「とりあえず、ネットワークインターフェイスや通信モジュールを搭載し、TCP/IPをしゃべるようにすればいい」というわけではない。インターネットにつながる機器が、避けて通れない問題がセキュリティだ。

とくに注意したいのは、IoT機器の場合、サーバーやノートPC、さらにはスマートフォンとも違った対策や考え方が必要だという点だ。組込みシステムが前提となるIoT機器は、CPUスペックやメモリ容量・ストレージ容量などリソースが限られ、IT機器のようなセキュリティソリューションが適用しにくい。また、稼働環境が屋外だったり、人間の操作を前提としていない機器だったりする。

ここでは、IoTセキュリティと一般的なITセキュリティとの違いをあらためて解説しないが、IoTセキュリティは、組込み機器や重要インフラのセキュリティと同様な特性と課題を持つと思ってよい。これを踏まえて、IoTセキュリティの考え方のポイントを整理するので、参考にしてほしい。

情報収集と情報共有のフレームワーク

セキュリティ対策において、あらゆる意味で情報収集、情報共有は重要だ。このことを主張するセキュリティの専門家は多い。自分達の業務環境や製品が、いまどんな状況にあるのか。これを客観的に評価・分析を繰り返すことは、セキュリティの基本といってもよい。

ミクロな視点では、システムにウイルスやマルウェアが侵入していないか、不審な痕跡（ログ）はないか、脆弱性はないか、といった検知技術の話になるが、現在のサイバー攻撃は、その動機、手法が多様であり、社会情勢、業界動向に加え、アンダーグラウンドの情報を多角的に分析する必要がある。

例えば、オリンピックのような一大イベントやテロ・暴動・内戦のような状況が引き金になるサイバー攻撃がある。最終的なターゲットはピンポイントでも、そこに至るまでのサプライチェーン攻撃が、各方面で課題になっている。民間だから、中小企業だからテロは関係ないと、のんきにしていられる状況ではない。いまや無防備なWebカメラ、IoT機器が、DDoS攻撃用ボットネット構築のために狙われる時代だ。

情報収集という視点だと、脅威インテリジェンスや脆弱性診断のようなコンサルティングやソリューションの話になりがちだが、その前に基本的な対策ができているかどうか、体制がとれているかどうかを確認すべきだ。そもそもIoTセキュリティとはなにか。どんな対策やプロセスが必要なのだろうか。製品開発にどう組み入れればいいのか。ユーザーや顧客にはどんなサービスや機能が必要なのか。これらの把握は大丈夫だろうか。

ガイドラインやコミュニティの活用

IoTセキュリティに関する基本的な情報は、NISC（内閣サイバーセキュリティセンター）、JPCERT/CC（JPCERTコミュニケーションセンター）、IPA（情報処理推進機構）といった機関から解説文書、ガイドラインが出されている。また、業界ごとのISAC（情報共有組織）も、製品やサービスに対するセキュリティ基準やクライテリア（規範）のガイドラインを持っている。中にはチェックシート方式になった文書やWebサイトサービスもある。これからIoTセキュリティを考えるという企業は、これらの文書やサイトを利用するとよい。

業界向けのガイドライン・文書の他、コミュニティの活用も有効だ。日本シーサート協議会は、企業内のセキュリティインシデント対応チームであるCSIRT（Computer Security Incident Response Team）の横のつながりとなる団体だ。CSIRTというくくりなので、加盟企業の業種は多岐にわたる。金融、製造業、サービス業、小売・販売、SIerと広がっている。通常のセキュリティ業務、インシデント対応について、情報共有の場、セミナー・勉強会なども開催される。製造業の参加も増えており、自社製品の脆弱性に起因するリスクに対応するための組織内機能であるPSIRT（Product　Security Incident Response Team）活動、製品のセキュリティ開発ライフサイクルといったIoTに関係の深い知見も期待できる。

IoTに特化した業界団体もいくつかできている。その中でセキュリティに特化しているのが「一般社団法人セキュアIoTプラットフォーム協議会」だ。正会員が45社。賛助会員が22団体という業界コンソーシアム。参加企業には、セキュリティベンダー、ISP、ITベンダー、SIerなどが名を連ねるが、特徴的なのは、ARM社も会員となっている点だ。

ARMは、主に組込みシステム用のプロセッサやSoC向けIPのライセンスを手掛けているチップベンダーだ。IoT分野では、多くの組込みシステム、業務用システム、産業用制御機器での採用実績がある。近年はサーバーシステムも小型化、省力化のニーズが高まりARMチップを使ったサーバーボードが注目されているが、IoT機器の開発や製品に欠かせない存在となっているラズベリーパイはARMのプロセッサを搭載している。

ラズベリーパイというと、趣味の電子工作というイメージを持つ人もいるかもしれないが、SDカードスロット、ネットワークインターフェイスなどを持ち、LinuxやWindowsのようなOSも稼働させることができる。ラズベリーパイは、IoT家電やIoT業務システムとインターネット接続のアプリケーション開発に有効とされる。クラウド対応の監視カメラ、センサーネットワーク、スマートホームのコントローラ、キオスク端末など応用範囲も広い。

もうひとつ、「一般社団法人重要生活機器連携セキュリティ協議会」は、家電や生活にかかわるコンシューマー製品が、ネットワークにつながることで利用者の安全を脅かすことがないように、安全機能やセキュリティ対策に取り組む団体だ。連携という名前が示すように、IoT機器の接続と、IoT機器どうしの相互接続での安全性確保もミッションのひとつになっている。

OTA・通信経路のセキュリティ対策

情報収集やコミュニティの概要について整理したので、最後はIoT機器そのもののセキュリティ対策の特に注意したい2つのポイントについて考えてみる。基本は、コンピュータでありネットワーク機器なのだが、IoT機器特有の機能や考慮すべきポイントがある。

まず、IoT機器の特徴のひとつはオンラインでのアップデート機能（OTA機能）にある。従来型の組込み機器に通信機能をつけただけの製品には、この機能が搭載されていないものもあるが、汎用的なOSを利用し、インターネットにつながるならば必須の機能ともいえる。このような機器は、PCやサーバーと同様に不具合の修正、脆弱性の修正が欠かせない。パスワードをプログラム中に直接記述（ハードコード）していたため、DDoS攻撃用のIoTマルウェアに大量感染した監視カメラのメーカーが、リコール対応で多大な損害を被った事例も報告されている。

ソフトウェアアップデート機能に欠かせないのが、通信路の暗号化、アップデートの認証機能、そしてソフトウェアコードそのものの認証機能だ。ソフトウェアの入れ替えがオンラインで可能ということは、その経路がハッキングされたら、ソフトウェアの書き換え、データの書き換えが可能になるということだ。この対策として、アップデート通信そのものの認証と暗号化、インストールするソフトウェアが正規のものかの確認が必要となる。

アップデート用にVPNを設定することで暗号化と認証を実装し、安全性を確保することができる。HTTPS通信を利用する方法もあるが、サーバーやブラウザのようなオーバーヘッドをデバイスに実装することになり、設定に注意しないと、ブラウザがよけいな侵入経路を開く可能性もある。

コード認証と入出力I/Fの確認

IoTデバイスにインストールするソフトウェアそのものが汚染される場合もある。この対策として、コードに電子署名やコード証明書を付与する方法がある。ベンダーが署名したコード以外、インストールできないような仕組みを導入しておけば対策になる。

9月に、あるホテルチェーンのベッドサイドロボットがハッキングできる脆弱性が公開されてニュースとなった。ハッカーがホテルに対して脆弱性を報告したが、対応しなかったためハッカーによって公表されてしまった。この事例では、インターネット経由ではなく、ロボットの近距離無線通信技術の国際標準規格であるNFC（Near Field Communication）機能が利用され、攻撃プログラムがインストールされてしまった。プログラムのインストールにコード証明書や認証プロセスを導入しておけば、ハッキングは成功していなかった可能性がある。

最近のマルウェアには、メモリのみに常駐し、ファイルやストレージの検査を回避したり、犯行の証拠を残さないものも存在する。十分なストレージを持たないIoT機器向けにメモリ常駐タイプのマルウェアにも注意が必要だ。メモリ常駐タイプは、電源が切れたら削除されるが、脆弱性がそのままだと、再び電源が入ったとき同じマルウェアに感染するだけだ。

以上のポイントはIoTセキュリティの一部である。業界ごとの事例、攻撃や対策の詳細は、各団体、協議会の作業部会、委員会の公開文書、報告書、ガイドラインを参考にしてほしい。