経営課題として重要性が高まるIoTセキュリティ
2018-01-23
世界中の産業において、ネットにつながる「IoT:Internet of Things(モノのインターネット)」機器が普及し、注目されています。IoT機器へのサイバー攻撃は、企業経営の根幹を揺るがす深刻な脅威となります。IoT機器は、エレベータの制御や監視システムなど、IoTという言葉が出る以前からネットに接続して利用されていた機器にも多く存在します。そのため、IoT機器のセキュリティに対する取り組みは、最新機器と以前から利用されている機器、双方を念頭に置く必要があります。
ITシステムに比べ、IoT機器へのセキュリティ投資はごくわずか
企業がITシステムのセキュリティ対策にかける投資は、どの程度でしょうか。PwCが実施した「グローバル情報セキュリティ調査2016:サイバーセキュリティの転換と変革」によると、日本企業の多くは、「ビジネス目標に適したセキュリティ戦略の展開」を重視する、と回答しており、グローバル全体と比べても意欲的という結果がでています。「IoT機器・制御システムを標的としたサイバー攻撃を受けた」と回答した企業は、2015年と比較して2016年は約2倍にまで増加しています。また、回答企業の66%がIoTに関するセキュリティ戦略を策定済みまたは整備中と答えています。
しかし、攻撃数が増加し、セキュリティ戦略を策定しているにも関わらず、セキュリティ投資計画にIoT機器を含めているという日本企業は、わずか「20%」という結果でした。多くの企業では、ITシステムに比べてIoT機器へのセキュリティは重要視されておらず、戦略も投資が不十分な可能性があります。
出典:PwC グローバル情報セキュリティ調査2017 Vol.3
IoTを狙った攻撃の激増
IoT機器・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、2015年と比較して激増しており、回答企業の66%がIoTに関するセキュリティ戦略を策定済み・整備中です。
IoTの活用範囲の広がりに伴い、IoTを標的としたサイバー攻撃の一層の増加が予想されます。先進的な企業は、ビジネス・顧客の保護、顧客からの信頼獲得のために、IoTに関するセキュリティ対策を推進しています。
出典:PwC グローバル情報セキュリティ調査2016
IoT機器への攻撃例~監視カメラの画像は正しいのか
IoT機器に対するセキュリティ対策は、どのような観点で進めていくべきでしょうか。IoT機器は、企業のネットワークやサーバシステムであるITシステムとは異なったセキュリティ対策が必要になります。なぜなら、IoT機器の中にあるプログラムに加え、接続されているセンサーなどの部品にもセキュリティ対策を講じる必要があるためです。
IoT機器のセキュリティが脅かされたときに、どのような影響や被害が発生するのか、具体例をご紹介します。
代表的なIoT機器として、ネットワーク監視カメラ(以下、監視カメラ)があります。監視カメラに記録されている画像と日時の情報は、現在では犯罪捜査の重要な証拠として利用されています。しかし、記録された画像の日付が犯罪者によって改ざんされていた場合、そのデータは証拠として成立しません。そのため監視カメラには、データの改ざんを防ぐセキュリティ対策が求められます。
次に、IoT機器につながっているセンサーを誤作動させる事例をご紹介します。例えば、温度センサーを利用した管理を行っているIoT機器があるとします。もし悪意を持った人が温度センサーに熱風を当てると、実際と異なる温度をIoT機器は判断して誤作動します。これが自動販売機の場合は、飲み物の温度が変わる程度で、大きな被害は出ないかもしれません。しかし、工場の生産機器で利用されているセンサーを誤作動させると、不良品が大量に生産される事態が予測されます。このようにIoT機器へのサイバー攻撃は大きな損失につながる可能性があり、不良品の誤生産や製品の生産の停止などが発生することで、事業継続上の大きなリスクとなります。また例えば、医療機器に搭載されているIoT機器への攻撃が発生すると、人命にかかわることになります。
すでに、IoT機器がサイバー攻撃の道具として利用され、実際に被害が発生した事件もあります。2016年、IoT機器を対象として開発されたコンピュータウイルス「Mirai(ミライ)」による大規模なサイバー攻撃が発生しました。Miraiは監視カメラや家庭用のルーターを狙い、感染したIoT機器は攻撃者が指定したサイトに攻撃通信を送りつけました。無数のIoT機器からのサイバー攻撃により、多くのウェブサイトが停止するなどの被害が発生しました。
IoT機器へのサイバー攻撃は、企業経営の根幹を揺るがす深刻な脅威となる。だからこそ、セキュリティ対策が重要になってくる。
IoTのセキュリティを確立するためには?
IoT機器に最適なセキュリティ対策を講じるためは、どのような方策をとる必要があるでしょうか。IoT機器には従来のITシステムやネットワークとは異なるセキュリティ対策が必要になります。サイバー攻撃が高度化してきた現在、IoT機器のセキュリティ対策を自社だけで行うことは困難です。そのため、IoT機器のセキュリティに精通したプロフェッショナルに協力を得ることが重要になります。プロフェッショナルのアセスメントによってIoT機器が「安全なのか」、「危険なのか」を判断し、それに基づいたセキュリティ対策を適切に実施することによって安全なIoT環境の構築・運用を実現することができるようになります。
プロフェッショナルと協力して、IoT機器のセキュリティを高めていく必要がある。
