IoTセキュリティの課題とその対策

"IoTセキュリティの課題とその対策"

(2020年4月24日 掲載)

目次

IoTが普及し、便利になる反面、接続されたモノがサイバー攻撃の標的になり、そこから情報が漏えいするなどのリスクが高まっています。総務省は今後製品化されるIoT機器がパスワード設定の不備等によりサイバー攻撃に悪用されないようにする対策として、2019年3月にIoT機器の技術基準にセキュリティ対策を追加する端末設備等規則を改正し、2020年4月より施行されています(令和元年版 情報通信白書 第2部)。今後さらにIoTが日常生活に当たり前のように活用されるようになり、仕事面でも効率化を図るためには、今の段階でセキュリティの課題を把握し、その対策を講じておく必要があります。今回はIoTが抱えるセキュリティの課題とその対策を考えていきます。

IoTセキュリティの現状を知ろう

企業活動を行う上で、工場での機械監視や運輸における車輌位置の把握などの目的でIoTが浸透しつつあります。一方で、IoTはサイバー攻撃の標的になっていると言われています。これまでネットワークにつながることなく利用されてきた機器がネットワークにつながるようになり、活用事例も増えている中、急速なIoT化によってセキュリティに対する意識や対策が追いついていない状況であるため、攻撃の標的になっていると言えそうです。

さらに、利用者側から考えても、自分で使用しているPCやスマートフォンなど、インターネットにつながっていることを意識するモノに比べると、家電や車などがインターネットにつながっているという認識はまだ低いのが実情でしょう。言い換えれば、セキュリティ対策が必要だと意識しないまま、日常生活のなかにIoTが浸透してきていると言えるのです。

政府はそうした現状を踏まえ、2018年11月から「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」を施行しています。そして総務省と国立研究開発法人情報通信研究機構、複数のインターネットプロバイダが連携し、サイバー攻撃に悪用される恐れのあるIoT機器の調査プロジェクト「NOTICE」を2019年2月に開始しました。
このプロジェクトの存在からも分かるように、IoTの普及には、デバイスや設備における強固なセキュリティ対策が大前提となります。

また、情報通信研究機構の「NICTER観測レポート2018(2019年2月6日公開)」に示されたもので確認をすると、NICTERプロジェクトで大規模サーバー攻撃観測網を構築して、2005年からサイバー攻撃関連通信の観測を続けた結果、2018年に観測されたサイバー攻撃関連通信は合計で2,121億パケット、1IPアドレス当たりおよそ79万パケットが1年間に届いた計算になったと報告しています。さらに、2018年に攻撃対象となったものの上位にIoT機器(Webカメラ、Web管理画面、ルータ等)が示されています。

つまり、IoT機器へのサイバー攻撃は確実に増えているというのが現状なのです。

IoTセキュリティの課題

IoTが活用されるデバイスは今後ますます増えていくと考えられます。そして多様なデータが日常生活の中や企業活動で無限に作られます。身近になればなるほどネットワークにつながっているという意識は薄れていくでしょう。大きな課題のひとつが、この意識の低さにあるとも言えます。

では対策を考えるために、まずは現状で考えられるIoTシステムの各層を把握し、どこに具体的な課題があるのかを考えてみましょう。

IoTシステムを階層で考えておく

IoTシステムはさまざまなモノがインターネットを介してつながり、多様なデータが活用できるシステムです。その性質から考えると、次のように分けることができます。

① ユーザに最も近い層(エッジ・デバイス層)
家電や車など身近にある、モノと表現されている層です。

② エッジ・デバイスからインターネットを介してデータをやりとりする層(ネットワーク層)
有線、無線通信網を指しています。自営網と通信事業者から提供される商用の通信網が含まれます。

③ アクセスの管理やデータ連携を司る層(プラットフォーム層)
エッジ・デバイス層から得て、ネットワーク層を介して収集されたデータを集約し、分析して、サービス提供に有意義な情報を生成する機能を持っている層です。

④ 集積されたデータを分析したり、蓄積しておいたり、活用するための層(サービス層)
① 、②、③の層それぞれの機能を活用しIoTシステムとして実現させるための層です。

②、③、④において、特に③、④に関してはさまざまなセキュリティ対策が提供企業においてもなされていますし、ガイドラインや基準が示されているため、比較的セキュリティが高い状態が保たれています。ただし、②のネットワーク層の一部は先に示したNICTER観測レポート2018にもあったように、1IPあたり約79万パケットのサイバー攻撃を受けているという状況です。

さらに内閣サイバーセキュリティセンターが2016年に報告している「IoTセキュリティのための一般的枠組み(案)」のなかで、IoTシステムは多層的であり、IoTシステムのセキュリティ要件を考える場合、どの層のセキュリティ要件を議論しているのかを明確にし、各層のセキュリティ対策が他の層の要件にどのような影響をあたえるのかについても総合的に考える必要があると指摘しています。

IoTセキュリティ対策の最適解になるサービスとは

IoT時代の構造を考えるとPCやスマートフォンをはじめとする大量のデバイスが存在し、大量のデータを高速で送受信できるネットワークが進化し、クラウド化が普及することでより速くて簡単でしかも低価格でIoTシステムが利用できるようになっています。今後は車や家電といったモノがネットワークに組み込まれているのが当然の生活になるでしょう。

膨大なデータをより速く、最適に扱えるようになるために、5Gの商用サービスが大手通信事業者により2020年3月から開始されました。しかし、すべてのネットワークを5Gに切り替えることは費用面でも無理があると考えられます。こうした状況で利用拡大していくIoTシステムのセキュリティ対策として考えておきたいのがネットワークの使い分けです。

ネットワークの種類を知ろう

ネットワークは速度とカバーエリアによって、大まかに、Wi-Fi、Bluetooth、LTE(4G・5G) 、LPWA の4つに分けられています。その中で、IoTシステムのデバイス環境においては、少ないデータの送受信であるのでLPWA(Low Power Wide Area)というネットワークが適しているとされています。

いくつか種類のあるLPWAのなかでも注目されているのがNIDD(Non-IP Data Delivery)です。通常のインターネット通信はIP(Internet Protocol)を使いますが、NIDDはIPを持たない通信技術です。IPを使わないことで、サイバー攻撃の対象になることを回避でき、さらに消費電力、管理工数を減らすことができます。

今回のテーマであるセキュリティ対策を見てみると、多くの悪意あるサイバー攻撃がインターネット経由、つまりIP経由によるものであるため、NIDDネットワークならIP経由での攻撃を防ぐことができるということなのです。

今後、企業活動においてIoTの活用シーンはさらに拡大すると予想されます。倉庫の在庫管理、工場の生産管理、農業における栽培管理など多くの現場で実装化が進められています。早急にセキュリティ対策を検討しておく必要があります。

大切なのは自社の実情を踏まえ、総合的に相談できる専門企業を選択することでもあります。たとえば、まだ新しい技術であるNIDDについても、ソフトバンクが2018年秋に世界で初めて商用環境で実現しています。

こうした技術力、提案力を有した専門企業に検討段階から相談する。これも確実にセキュリティ対策を進めるうえでの最適解であると言えるでしょう。



関連サービス

ソフトバンクのIoT

ソフトバンクは、IoTソリューションに必要なセンサーネットワークの構築から、通信回線・通信機器の調達、データ収集および分析、さらに機器ネットワークの保守管理やコールセンター業務まで、ワンストップでサポートいたします。