IoT時代に備えを！
パソコン以外の情報セキュリティ対策の重要性とは？

総務省の「令和3年版 情報通信白書」によると、IoTデバイス（機器）の数は、医療、産業用途、コンシューマ（購入者）および自動車・宇宙航空で高成長が見込まれており、2023年には合計約341億台に達すると予測されています。これは、それだけ世の中のIoT化が急速に進んでいることを物語っています。
すでにその字面も、「アイ・オー・ティー」という読み方も、すっかりおなじみになったIoTですが、しかし多くの方はまだまだ漠然とした理解にとどまっているのではないでしょうか。まずはIoTとは何か、基本的な知識を得ることから始めましょう。

IoT（モノのインターネット）とは

正式には「Internet of Things」、略称で「IoT」とは、日本語で「モノのインターネット」と訳されます。これまでインターネットはパソコンやサーバ同士をつなぐためのものでしたが、IoTでは、モノがインターネットを経由して情報のやりとりを行うことで新しい付加価値が生まれます。
身近な例でいえば、「外出先から自宅の機器を操作できる」、「家電の稼働状況によって家族の見守りができる」、ビジネスシーンであれば、「工場の機械の故障を検知できる」、「在庫の状況が確認できる」など、実にさまざまなことが可能になります。
また、IoTは各種社会インフラにも変革をもたらします。自動運転なども、その活用例の一つとして大いに注目されています。さらに、医療・ヘルスケア、農業など、ありとあらゆる分野でIoTの活用が進められています。

IoTの機能

IoTの主な機能を要約すれば、以下のようになります。

• モノをリモートで操作できる
• モノの状態をリモートで確認できる
• モノ同士で対話（通信）ができる

これらに共通していえるのは、モノを遠隔から監視したり制御したりできることです。そのためには、スマートフォンやタブレットへの接続も欠かせません。また、デジタルレコーダー、情報家電などとも接続され、映像・音声・文字情報など、さまざまなデータが伝達されます。このようにインターネットは、あらゆるモノがコミュニケーションを取るための「経路」になりつつあるのです。

利便性と背中合わせのセキュリティリスク

多くの人の利便性を向上させるIoTですが、利便性の裏にはセキュリティリスクも潜んでいます。IoTの脆弱性について考えてみましょう。

〈十分なセキュリティ機能が備わっていない〉

IoTでつながるモノは、限られた処理能力しか持っておらず、脅威に対抗する十分なセキュリティ機能が備わっていないことが多々あります。また、ハードウェアの問題だけでなく、IoTを実現するためのソフトウェアにも脆弱性があることが考えられます。

〈ユーザーのセキュリティ意識が低い〉

パソコンなどに比べると、IoT機器に対するユーザーのセキュリティ意識はまだ低いのが現状です。IoT化が進めば進むほど、「外部とかかわりを持つ」ことになります。それだけ外部からの攻撃にさらされる可能性も高まります。

新型コロナへの対応として、テレワークの普及拡大や世の中のデジタルトランスフォーメーション（DX）が進みつつある中、サイバー攻撃も増加傾向にあります。「NICTER観測レポート2020」によると、2020年に観測されたサイバー攻撃関連通信は年間合計5,001億パケットで、2019年の3,279億パケットの1.52倍、10年前の2011年（約45.4億パケット）との比較では、110倍に達しています。
また、サイバー攻撃の手法は2005年ごろまでは仮に攻撃を受けてもすぐに発覚・対策が可能な「目立つ攻撃」でしたが、近年では「目立たない攻撃」が主流になるなど、巧妙化の一途をたどっています。

では実際に、どのようなリスクがあり、それがユーザーにどのような影響をもたらすのでしょうか。具体的なケースも見ながら考えてみましょう。

〈制御不能による事故リスク〉

制御システムが攻撃を受けると、機器がコントロール不能になり、物理的な事故が起きてしまうリスクがあります。人身事故などが起きると、取り返しがつきません。

〈インターフェースの乗っ取り〉

出入力部分などをつかさどるインターフェース（※2）が乗っ取られることによって、個人情報や企業情報などが窃取される可能性があります。いわゆる情報漏洩のリスクです。

〈「踏み台」として利用される〉

サイバー攻撃者が目標とするターゲットに攻撃を仕掛ける際、脆弱なIoT機器が「踏み台」として利用されることがあります。それによってスパムメール（※3）の発信元になったり、不正アクセスの中継地点になったりすると、攻撃元の特定が困難になります。知らない間に加害者になっている、ということです。

マルウェアの脅威

ネットワークカメラやビデオレコーダーなどが攻撃の対象になる事例が、近年多く起きています。その際、攻撃に使われるのが、「Mirai」というマルウェア（悪意あるプログラム）です。Miraiはこうした機器の脆弱性をついて攻撃を仕掛け、ボットネット（※4）を広げていきます。
被害が拡大するのは、Miraiが強い感染力を持つことが第一の理由ですが、もう一つの理由として、機器がインターネット上でオープンアクセスが可能な状態であることも挙げられます。さらに、IDとパスワードが初期設定のままで、簡単にわかってしまうケースもしばしば見受けられます。

「映像」も重要な情報

情報というと、すぐに「文字情報」というように考えがちですが、実は盗まれる情報は文字だけではありません。Webカメラによって映し出される映像もまた、重要な情報なのです。そのカメラがインターネットからアクセスできる無防備な状態にあると、そこから多くの情報が漏洩することになります。クレジットカードの番号や防犯体制の状況が見えてしまうなど、映像はあるときには文字情報よりも雄弁に、大事なことを伝えてしまう可能性があります。

※2 インターフェース：「接点」などの意。異なる機器を接続するソフトウェアや、コンピュータの出入力部分を指す。
※3 スパムメール：広告・宣伝などを目的として、大量送信される無差別な迷惑メールのこと。
※4 ボットネット：乗っ取られたコンピュータで構成されるネットワーク。

2016年に総務省、経済産業省などがまとめた「IoTセキュリティガイドライン」では、IoT機器やシステム、サービスの提供にあたってのライフサイクル（方針、分析、設計、構築・接続、運用・保守）における指針が定められています。以下、その指針と主な要点を見てみましょう。

〈分析／IoTのリスクを認識する〉

• 守るべきものを特定する
• つながることによるリスクを想定する

〈設計／守るべきものを守る設計を考える〉

• つながる相手に迷惑をかけない設計をする
• 不特定の相手とつなげられても安全安心を確保できる設計をする
• 安全安心を実現する設計の評価・検証を行う

〈構築・接続／ネットワーク上での対策を考える〉

• 機能及び用途に応じて適切にネットワーク接続する
• 初期設定に留意する
• 認証機能を導入する

〈運用・保守／安全安心な状態を維持し、情報発信・共有を行う〉

• 出荷・リリース後も安全安心な状態を維持する
• 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
• IoTシステム・サービスにおける関係者の役割を認識する
• 脆弱な機器を把握し、適切に注意喚起を行う

こうしたガイドラインからも、経営層はIoT時代の情報セキュリティ対策の重要性を再認識することがいかに大切であるかがわかります。
IoTの大きな特性は、常に「外部とつながっている」ということです。インターネットに接続されているということは、外部からもアクセスが可能であることを意味します。まずはそのことを深く理解しておくことが必要です。

IoTシステムは企業にとって重要な情報資産

もう一つ、経営層として大事な視点があります。それは、「IoTシステムは企業にとって重要な情報資産である」ということです。IoTによってつながっているモノは、それ自体が情報資産であり、やりとりをすることで新たな情報も生まれます。こうした情報の漏洩が大きな損失になることを認識しておけば、自ずとセキュリティ対策の重要性が理解できます。そのうえで講じるべき対策としては、以下の2つに大きく分けられます。

• IoT機器に対する対策
• ネットワークに対する対策

では、先に挙げた対策の具体例を紹介していきましょう。

〈IoT機器に対する対策〉

• デフォルトのままにしない

ほとんどのマルウェアは、IDやパスワードの総当たり攻撃を仕掛けてきます。IDやパスワードを、初期設定のままにして使い続けることは危険です。解読されにくいものに変更しましょう。

• ファームウェアをアップデートする

サイバー攻撃は手口が多様化・巧妙化し、セキュリティホール（脆弱性）を常に探し求めています。これに対抗するためには、IoTシステムを運用するファームウェア（※5）のアップデートが有効です。常に最新の状態に保っておきましょう。

• 不明瞭な機器は使わない

よくわからない製造元やベンダー（供給元）の機器は、使わないようにしましょう。その機器自体が悪質なものではないにしても、狙われやすいというリスクが発生します。また、サポート体制がしっかりしていない機器の使用も控えるべきです。

〈ネットワークに対する対策〉

• 安全なネットワーク環境を構築

安全なアクセスを実現する方法として、VPN（バーチャル・プライベート・ネットワーク＝仮想専用回線）があります。通信の暗号化などによって、社内サーバやシステムに、リモートでアクセスする際も安心です。もちろん、スマートフォンやタブレットからアクセスすることもできます。

• 確かな相手とつながる

ネットワークの安全性を高める手法として、TLS (トランスポート・レイヤー・セキュリティ)と呼ばれる仕組みもあります。これによって通信相手の認証、通信内容の暗号化、改ざんの検出も可能になります。確かな（正しい）相手とつながることができ、情報を盗まれることなく、また通信の途中でデータが加工されることもありません。

「弱い環(わ)」にならないように

実のところ、IoT時代における情報セキュリティ対策は、一社だけで達成するのはなかなか難しい、という言い方もできます。あらゆるモノがつながる状況では、複数の企業が同じレベルのセキュリティ対策を講じることが必要になるからです。これは確かにハードルの高いことです。しかし経営者としては、自社がその中の「弱い環(わ)」になってしまい、サイバー攻撃の踏み台にされてしまうことは避けたいはずです。
さらにIoT時代では、企業間や国内のみならず、国や地域を超えてつながることも往々にしてあります。国や地域によってプライバシーに関する法律やインターネットに関する法律もさまざまですから、そうしたグローバルな影響も今後は視野に入れておく必要があります。気がついてみれば、情報セキュリティ対策が手薄になっていたということにならないよう、アンテナを張っておきたいところです。

※5 ファームウェア：インターネットやパソコンの周辺機器に内蔵されている、制御用のソフトウェア。

自社の情報セキュリティ対策を、社内で客観的に評価するのは、難しいことです。そこで、まずは第三者によるセキュリティ診断を受けてみることをおすすめします。本格的なIoT時代の到来を前に、自社の現状を把握することから始めるのです。
自社の状況が正しくわかれば、講じるべき対策も見えてきます。セキュリティ対策をより強固なものにすることで、自社や顧客を情報漏洩などのリスクから守ることはもちろん、企業の信用低下を防ぎ、将来的にはブランド力をアップさせることもできます。

ここまで、IoT時代の備えとして、パソコン以外の情報セキュリティリスク対策について解説してきました。最後に、改めてその重要性を再確認するために、記事の中でも触れた「IoTセキュリティガイドライン」の冒頭から、次の一文を引用しておきましょう。

IoTでは、これまで接続されていなかった⾃動⾞やカメラなどの機器が、WiFiや携帯電話網などを介してインターネットに接続されることにより、新たな脅威が発⽣し、それに対するセキュリティ対策が必要となった。

実に簡潔・端的に、IoT時代のリスクを言い表しています。つまりIoTの利便性を活用しながら、一方でリスクにもしっかり備えることを、国としても求めているというわけです。
IoTは一つの時代の大きな流れですが、ほかにも、働き方改革や新型コロナウイルスの感染拡大を背景としたテレワークの普及、政府によるDX推進など、世の中の変化は目まぐるしく、市場環境も常に変わり続けています。何から手をつけていいのか、優先事項をどう決めていいのかわからないという経営者も多いのではないでしょうか。

• 働き方改革を進めたい
• デジタル化を進めたい
• 売上を向上させたい

こうした課題は、一度に解決できるものではありません。専門家とともに一つひとつ解決していく必要があります。
IoT時代に十分対応できる、レベルの高い情報セキュリティ対策は、そのための第一歩であるともいえます。IT人材が不足していても、頼れる専門家をビジネスパートナーにすることで、市場環境の変化に対応しながら付加価値を高めていくことができます。また、変化に強い企業には、優秀な人材も集まってくるはずです。

私たちサクサは、こうした次世代に向けて中堅・中小企業が抱えるさまざまな問題を、専門的なサポートによって解決させていただきます。また、「SAXA-DXサービスプラットフォーム」により、新たなサービスも提供してまいります。ぜひ、お気軽にお問い合わせください。