通信事業だけでなく、さまざまな事業を手がけるソフトバンク。顧客情報をはじめとした膨大な量の情報を守り、お客さまに安心してサービスを利用していただくために、情報セキュリティは非常に重要です。ソフトバンクがどのようにサイバー攻撃に備えているのか、担当社員へのインタビューを通してお伝えしていきます。
第3回目は、ソフトバンクの「IoT機器の脆弱性診断」を担う若手セキュリティエンジニア。聞き慣れない仕事ですが、IoT機器を活用した“スマートライフ”との接点もあるそうです。
技術管理本部 ISC統括部 セキュリティコンサルティング部
テクニカルコンサルティング課
田中 龍之介
IoT機器の脆弱性=弱点を見抜くプロフェッショナル集団
まずは田中さんの立場や役割を教えてください。
私が担当しているのは「IoT機器の脆弱性診断」と呼ばれるものです。具体的には、昨年9月に完成したソフトバンク竹芝新本社のビル管理システムに導入された設備をはじめ、ソフトバンクが取り扱う多数のIoT機器の脆弱性の有無を診断し、結果や対応策についてレポートしています。
IoT機器にも脆弱性診断が必要なんですね
IoT機器はネットワークに接続して使用するため、外部から攻撃を受けるリスクが常に存在します。また、近年はさまざまな機能を持つIoT機器が生み出されており、サーバーやシステム、ネットワークや関連する機器類についてセキュリティ対策を行っていたこれまでと比べて、全く違うリスクを考慮する必要が出てきました。
というのも、IoT機器は特定の機能に絞られているので監視が行き届いていなかったり、既存のセキュリティ対策を適用できなかったり、想定していない動作が発生したりする可能性があります。そのため、IoT機器の特性を考慮した診断を行うことが重要になります。
脆弱性診断と聞くと、社外の専門チームに依頼する会社も多いですよね。田中さんの所属する部署はどのような体制になっているのですか?
部署には現在20名以上が在籍しており、IoT機器の脆弱性診断チームの他、ネットワーク診断やウェブアプリケーション診断のチームもあります。診断チームが社内にいることでそれぞれの診断への理解が深まり、他の部署とも連携がしやすく、スピード感が高まることが強みですね。
膨大な数の顧客情報や企業情報、プロダクトを抱える中で、導入した機器やシステムに脆弱性があると、情報が漏洩するリスクが高まります。我々は、そのリスクを限りなく0にするため、IoT機器はもちろん、ソフトバンクのサービスに関わるさまざまなシステムの診断を行っているんです。
私は入社1年目にネットワーク診断を、2年目にウェブアプリケーション診断を担当し、今はIoT機器の脆弱性診断を行っているのですが、いろいろな分野のセキュリティを担当した経験がとても生きていると思います。
約7,000人が勤務する巨大スマートビルの安心・安全を見守るIoT機器とは?
ソフトバンクの竹芝新本社※にはどんなIoT機器が採用されているのですか?
竹芝新本社に導入されたIoT機器の数は非常に多く、2018年から脆弱性診断に取り組んできました。具体的には、監視カメラや温度・人流検知センサーなどに加えて、入館ゲートに設置した「顔認証ソリューション」や、エレベーターに設置しているセンサー、トイレの混雑状況を把握するシステムなどもあります。
- ※
港区竹芝エリア「東京ポートシティ竹芝」内にできたソフトバンク竹芝新本社。オフィスエリアは全館5G化で、ソフトバンクの最先端テクノロジーを搭載。オフィスワーカーの利便性や快適性の向上、ビル管理の効率化につながる仕組みが取り入れられている。
先進的な技術が盛り込まれていそうですね。実際、それらIoT機器の脆弱性診断はどのように行っているのでしょう?
導入予定のIoT機器は私たちのラボで検査して、合格したものだけが採用されています。技術的な話になりますが、例えば監視カメラの脆弱性診断なら、ネットワークにつなぎ、よく使われるパスワードを用いて、意図的にサイバー攻撃を実施。システムに侵入されてしまう脆弱性がないかをテストします。これを「ペネトレーションテスト」といいますが、実際に行っているテスト項目は数えられないくらいあります。
IoT機器診断のラボ環境
導入している機器に脆弱性があった場合、具体的にどのような被害が考えられますか?
監視カメラであれば、外部から不正に侵入されて画像を見られたり、シャットダウンされて録画できなくなったり、ニセの映像を流されたりします。顔認証ゲートであれば、社員のパーソナルデータが危険に晒されされます。また、侵入した機器を踏み台にして他のサーバーへ攻撃を仕掛ける可能性も存在します。
ニセの映像…まるで映画のようですね。
話は若干逸れますが…私は映画が好きで、大学進学前にハッカーが登場する映画を観てセキュリティに興味を持ち、現在に至ります。例えば、天才ハッカーと悪徳企業が対峙する海外ドラマの『ミスター・ロボット』や、犯罪予知システムをテーマにした海外ドラマ『パーソン・オブ・インタレスト』などをよく見ています。皆さんも興味があったらぜひご覧ください。
私たちの生活を豊かにするIoT機器に潜む危険を知ろう
IoT機器の脆弱性が、私たちの日常生活を脅かすこともあるのですか?
IoT機器の一番の問題は、セキュリティのことを十分に考えられずに設計されたものが多いということです。私たちの身の回りにもコンパクトで便利なIoT機器が増えていますが、もし管理権限が乗っ取られてしまったら、攻撃者の踏み台にされ、意図せずサイバー攻撃に利用されてしまう可能性があります。
実際に、2017年にアメリカで、心臓のペースメーカーの脆弱性を悪用して、患者のペースメーカーに他人が不正アクセスしてプログラムを改ざんしたというニュースが大きく取り上げられました。この事例は、人命に直結するハッキングですよね。
人命まで脅かされることがあるとは。かなり怖いですね…
他にも、ペットや小さいお子さんの動きを監視するカメラや、スマホやICカードで施錠・解錠できるスマートロック(キー)なども世の中に普及しつつあります。もしカメラの画像が外部者に見られたら、普段の生活が丸見えになりますし、また、防犯性が高いとされるスマートロックが乗っ取られたら、他人が簡単に鍵を開けることも可能です。対策をしっかりしていないとこういったことが起こりかねないので、脆弱性診断は機器の大小に関わらず重要です。
急に身近に感じるようになりました!
皆さんができる身近な対策としては、極端に安価な製品や製造販売元が信頼できない製品を買わない、使わないこと。初期パスワードをそのまま使用しないこと。発売元のウェブサイトなどを見て、ファームウェアはアップデートすること。特に、パスワード管理はユーザーの責任なので注意してください。
なるほど。勉強になります。やはり普段からIoT機器には敏感なんですか?
そうですね、どんどん新しいものが出てくるので、日々の勉強が欠かせません。あとは、休日に外出したときに、建物の外に露出しているWi-Fi機器につい目がいってしまいます。これなら簡単に侵入できるかも……と考えることもありますね(笑)
田中さんが悪い人でなくてよかったです(笑)。最後になりますが、将来の夢や展望を教えてください。
まずは技術的なスキルアップですね。ペネトレーションテストなどで、さらなる高みを目指していければと思います。我々の行う脆弱性診断は、社内だけでなくソフトバンクのサービスに関わる人や、それを利用してくださる多くの人を守る仕事です。技術を高めることで、進化し続けるIoT機器のリスクを限りなく0にしていけると考えています。
(掲載日:2021年2月12日)
文:梶井誠
編集:エクスライト
ソフトバンクの情報セキュリティ
ソフトバンクが提供するサービスを安心してご利用いただけるよう、情報漏えいリスクに対してさまざまな対策を講じ、常にお客さまをはじめ社会からの信頼を得るため、情報セキュリティの強化に努めています。
