お掃除ロボットが｢盗み見たかも｣しれない秘密 サイバー攻撃が目を付ける｢IoT｣の脆弱性

報告されている脆弱性の例でも、必ずしもIoTデバイス自体の脆弱性ではなく、クラウドやスマートフォンのアプリケーション、無線ネットワークなどデバイス以外のコンポーネントに起因するものも多い。このようにIoTのセキュリティは、デバイスを含むシステム全体で考える必要がある。

IoTシステムでは以前からの情報セキュリティの特性である、機密性、完全性、可用性に加えて、信頼性、回復性、安全性、個人情報・プライバシー情報の保護などの観点も踏まえる必要がある。これらは総称してTrustworthinessと呼ばれている。サイバー攻撃などの侵害行為だけでなく故障や誤操作などに対しても期待通りに機能する信頼性といった意味である。

製造、システム提供者、利用者それぞれの役割

■デバイスの製造企業は製品企画の段階から

IoTデバイスの製造業者がセキュリティの観点から心がけなければならないのは、製品の企画から設計、開発、製造、販売、メンテナンスといったプロセスごとにどのようなリスクが存在し、適切なコスト感覚でセキュリティ対策を検討することである。

とくにIoTデバイスは、常時ネットに接続されることが多い、デバイスの計算能力が限られている、モニターがなく利用者の目が届かないところに設置されることもある、長期間にわたり使用されるなどの特性を考慮しなければならない。このためファームウェアアップデートやリモートメンテナンスの機能も必要とされる。

また、後述する政府主導によるIoTのセキュリティ確認が必要とされる現状を見ると、出荷時の初期パスワードを個体ごとに変えることに加え、リリース前のセキュリティ検査などが必要となる。

■システム、サービスの提供業者はシステム全体を考慮

IoTシステムやサービスを提供する業者は、システム全体のTrustworthinessを考えなければならない。IoTデバイスだけではなく、Webサーバーやスマートフォンのアプリ、使用するネットワークなどシステムを構成するすべてのコンポーネントが対象となる。とくにIoTでは無線通信が使われる局面が多い。

一般的に利用されるWi-Fi、Bluetoothに加え、省電力で広域通信可能なLPWA（Low Power Wide Area）の利用も進み始めている。IoT×無線のセキュリティについては、『ITロードマップ』の最新版（2019年版）により詳しい解説記事がある。