IoTセキュリティの課題
IoT(Internet of Things)機器の普及は加速しており、家電、防犯カメラ、自動車、医療機器、産業機器、ビル管理システムなど、あらゆる「モノ」がインターネットに接続されています。しかし、これらの機器の多くはセキュリティが十分に考慮されていないまま市場に投入されており、サイバー攻撃の格好の標的となっています。
IoT機器のセキュリティが脆弱な理由には、計算リソースの制約(暗号処理が困難)、長期運用(10年以上使用されるケースも)、アップデート機構の欠如、ユーザーのセキュリティ意識の低さなどが挙げられます。
IoT機器の脅威
| 脅威 | 概要 | 代表的な事例 |
|---|---|---|
| ボットネット化 | 脆弱なIoT機器が大量に乗っ取られ、DDoS攻撃の踏み台にされる | Mirai(2016年):60万台以上のIoT機器を利用したDDoS攻撃でDNSサービスDynがダウン |
| 不正アクセス | デフォルトパスワードや脆弱性を利用した不正アクセス | 監視カメラの映像が第三者に閲覧される事例が国内外で多数 |
| データ窃取 | IoT機器が収集するデータ(位置情報、生体情報等)の窃取 | スマートウォッチ、音声アシスタントからの情報漏洩 |
| 踏み台攻撃 | IoT機器を足がかりに、同一ネットワーク内の他のシステムへ侵入 | ビル管理システム経由で企業ネットワークに侵入した事例 |
| 物理的安全への影響 | 産業用IoT(IIoT)の不正操作による物理的被害 | 水処理施設の薬品投入量を遠隔操作で変更した事例(Oldsmar、2021年) |
IPAの取り組み
IPAはIoTセキュリティに関して以下の取り組みを推進しています。
- IoTセキュリティに関するガイドラインの策定・公開
- 脆弱性情報の収集・公開:JVN(Japan Vulnerability Notes)でのIoT機器の脆弱性情報公開
- JC-STAR認証制度の運営:IoT製品のセキュリティ要件適合を評価・認証
- 制御システムセキュリティ:重要インフラの制御システム(OT/ICS)のセキュリティ支援
- 注意喚起:IoT機器のデフォルトパスワード変更、ファームウェア更新に関する啓発
主要なガイドライン
| ガイドライン | 発行者 | 対象 | 内容 |
|---|---|---|---|
| IoTセキュリティガイドライン | IoT推進コンソーシアム/経産省/総務省 | IoT機器の開発者・利用者 | IoTのセキュリティ設計・運用に関する方針・要点を5つの指針で提示 |
| IoT開発におけるセキュリティ設計の手引き | IPA | IoT機器の開発者 | 開発段階で考慮すべきセキュリティ要件と実装手法 |
| つながる世界のセーフティ&セキュリティ設計入門 | IPA | IoTシステムの設計者 | 安全(セーフティ)とセキュリティの両立を図る設計アプローチ |
| NIST SP 800-183 | NIST | IoTシステムの設計者 | IoTのネットワーキングモデルと相互運用性に関する推奨事項 |
| ETSI EN 303 645 | ETSI(欧州) | 消費者向けIoT機器メーカー | 消費者向けIoT製品のセキュリティ基準(EU Cyber Resilience Actの参照規格) |
IoTセキュリティの5指針(IoTセキュリティガイドライン)
| 指針 | 内容 |
|---|---|
| 指針1:方針 | IoTのセキュリティにいては経営者自らが主導する |
| 指針2:分析 | IoTのリスクを認識し、守るべきものを特定する |
| 指針3:設計 | 守るべきものを守る設計を考え、つながる相手に迷惑をかけない設計をする |
| 指針4:構築・接続 | ネットワーク上での対策を考える。初期設定に留意する |
| 指針5:運用・保守 | 安全安心な状態を維持し、出荷後も利用者に対するセキュリティ対策を継続する |
JC-STAR認証制度
JC-STAR(Japan Cybersecurity requirements for IoT devices — Security Technical Assessment Requirements)は、IPAが運営するIoT製品のセキュリティ要件適合評価およびラベリング制度です。
| 項目 | 内容 |
|---|---|
| 目的 | IoT製品がセキュリティ要件を満たしていることを第三者が評価・認証し、利用者が安全な製品を選定できるようにする |
| 対象 | ネットワークに接続するIoT製品(家電、産業機器、ネットワーク機器等) |
| 認証レベル | ★1(自己適合宣言レベル)から★4(高度なセキュリティ要件)まで4段階 |
| 評価項目 | デフォルトパスワードの禁止、ファームウェア更新機構、データ保護、アクセス制御等 |
| 国際連携 | 欧米の同種制度(EU Cyber Resilience Act、シンガポールCLS等)との相互認証を目指す |
開発者の対策
- セキュリティ・バイ・デザイン:設計段階からセキュリティを組み込む
- デフォルトパスワードの禁止:出荷時に一意のパスワードを設定、またはユーザーに初回変更を強制
- ファームウェア更新機構:OTA(Over-The-Air)でのセキュアなファームウェア更新を実装
- データの暗号化:保管時・転送時のデータ暗号化
- 最小権限の原則:IoT機器に必要最小限の権限のみ付与
- 脆弱性開示ポリシー:セキュリティ研究者が脆弱性を報告できる窓口を公開
利用者の対策
- デフォルトパスワードの変更:購入後すぐにデフォルトパスワードを変更
- ファームウェアの更新:メーカーが提供する最新のファームウェアを適用
- ネットワーク分離:IoT機器を業務ネットワークと別のVLAN/SSIDに分離
- 不要な機能の無効化:使用しないポートやサービスを無効化
- メーカーサポート終了品の把握:サポートが終了した機器は交換を検討
- セキュリティ認証の確認:JC-STARやETSI EN 303 645認証を取得した製品を優先選定
まとめ
IoTセキュリティはMiraiボットネット以降、国際的に重要課題として認識されています。IPAはガイドラインの策定、JC-STAR認証制度の運営、脆弱性情報の公開を通じてIoTセキュリティの向上を推進しています。開発者はセキュリティ・バイ・デザイン、利用者はデフォルトパスワード変更とネットワーク分離から始めましょう。