検索
特集

「安心・安全」なIoTサービスを作れる人材が日本の武器になる特集:IoT時代のセキュリティログ活用(1)(1/3 ページ)

何度もセキュリティインシデントで痛い経験に遭いながら、セキュリティのベストプラクティスを構築してきたIT業界の「教訓」は、IoTの世界に反映できるのだろうか? 「安心・安全」なIoTサービスを構築するための課題とは? セキュリティ企業のラックに、IoTが抱えるセキュリティ上の課題と対策について聞いた。

Share
Tweet
LINE
Hatena

IT業界の教訓をいかにIoTの世界に生かすか

 これまで単独で動作していたさまざまな機器やセンサーが、ネットワークを介して互いに情報をやりとりし、ときに協調動作する「IoT (Internet of Things)」は、確実に大きなトレンドとなっている。

 ハードウェア価格の下落や、「Raspberry Pi」に代表される小型コンピュータの登場、そして手軽に入手できる入門書の普及なども相まって、IoTの世界へのハードルは大きく下がっている。また、「機器を効率的に使いたい」「家電やデバイスを集中管理したい」というIT以外の業界からの要求も後押しとなり、手軽にIoT向けのサービスを構築できる環境がいきおい整いつつある。

 だが、ここで見落してはいけない問題がある。「サイバーセキュリティリスク」だ。手軽にIoT機器を使ったサービスを構築できる環境が整い始めている一方で、外部からのサイバー攻撃のリスクなど、セキュリティはどうしても度外視されがちだ。迅速に構築したそのサービスは、本当に「安心・安全」だといえるだろうか?

 これまで、ITの世界では、「マルウェア感染」や「アプリケーションの脆弱(ぜいじゃく)性を突いた不正アクセス」による情報漏えいといった度重なる被害に遭ってきた反省から、「脆弱性の修正」「認証とアクセス制御」「ネットワークの分離」「ログの収集と監視」といったベストプラクティスの重要性が認識されてきた。IT業界が蓄えてきたこれらのノウハウを、IoTの世界で生かすことはできるのだろうか?

 本特集では、主にIoTのサービスレイヤーにおける「ログ活用」にフォーカスしながら、IoTが抱えるセキュリティ上の課題とその対策について考えていく。初回となる今回は、セキュリティ企業のラックに、IoT時代のセキュリティリスクと、その対策について尋ねた。

まずは、「アップデートによる脆弱性修正の仕組みをどう構築するか」

ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所 リサーチャー 渥美清隆氏
ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所 リサーチャー 渥美清隆氏

 ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所 リサーチャーの渥美清隆氏は始めに、「IoTサービスの構築はますます手軽になってきているが、作ったサービスが“外部から狙われる”リスクがあることを忘れてはならない」と警鐘を鳴らす。同氏によれば、「従来『セーフティ』の観点から品質管理に取り組んできた企業などの場合は、IoTの『セキュリティ』に関しても注意深くケアを行っていることが多いが、一部のスタートアップなどでは、“セーフティすら考慮していない”ケースもある」のだという。さまざまなサービスを自在に展開できるIoTの世界だが、“防御面”もおろそかにしてはいけない。

 そもそも、一口にIoTと言っても、単機能のセンサーやマイコンのような小さな機器を搭載したデバイスから、OSが搭載される複雑なコンピュータに至るまで、用いられる機器はさまざまだ。従って、ITの世界と同様に、「この対策さえ実施すれば大丈夫」というような万能薬は存在しない。では、IoTのセキュリティにおいて、最低限考慮すべき事項とは何なのだろうか?

 まず注意すべきなのは、機器に搭載されるソフトウェアの脆弱性への対応だ。渥美氏は「現状のIoTサービスなどでは、OSやその上に搭載されるパッケージソフトをアップデートし、管理する仕組みが存在せず、結果として脆弱性の管理が全くできていないケースが見受けられる」と指摘する。

 ITの世界においては、今でこそ「ソフトウェアを最新版に更新し、脆弱性を修正すること」がセキュリティ対策の基本であるという認識が広まっているが、その認識が広く浸透するまでには長い時間がかかった。ときにはユーザーからの反発を受けながら、ソフトウェア更新やセキュリティパッチの重要性に関する啓発活動などを続け、徐々にソフトウェアを定期的に更新するための仕組みを整えてきたという経緯がある。

 片やIoTの世界はどうだろうか? 「自動車では、ユーザー登録を法律的に義務付けており、メーカーがユーザーにリーチできるが、低価格なデバイスではなかなかそうもいかない。メーカーは誰が製品を持っているのか分からず、セキュリティ上の問題をアップデートで修正できない。また、例えばルーターのように、通信事業者側が利用者を把握していても、法律上の制限があってアプローチできないケースもある」と渥美氏は述べ、IoTの世界でも、アップデートによる脆弱性修正の仕組みをまず構築することが求められるとした。

 また、IoTの世界では、ITの世界よりも機器のライフサイクルが長期化しがちな点にも注意が必要だ。「きちんと引き継ぎができてサービスの継承ができるソフトウェアを実装するのは難しく、大きな課題となる」(渥美氏)。

 その上、機器の数も桁違いに増える。これらの機器を全てOSごとアップデートするとなると、相応のコストが必要になる。「身近なところでは、POSシステムやATMにも汎用OSが使われているが、そうした機器のOSがサポート終了を迎えた場合にどうするのかは、企業の経営方針に関わる課題になるだろう。セキュリティ上の寿命が来た時点で評価価格をゼロにするといった具合に、少なくとも税務上の評価に関しては、工夫の余地があるのではないか」と渥美氏は提唱する。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
ページトップに戻る