IoTのセキュリティ対策を再起動 ~「評価制度」も2025年春にスタート~ | |
---|---|
作成日時 25/01/29 (09:08) | View 379 |
さまざまなモノをインターネットにつなぎ、製造や流通分野の効率化、インフラなどの監視強化、より便利な生活空間の構築、そして新しいビジネスを開拓するツールとして位置づけられる「IoT(Internet of Things)」。2010年代から進展し、その成長は加速してきました。
現在は、車やドローンなどを扱う“動くIoT”、収集したデータの解析とUI(ユーザーインタフェース)の改良に生成AIを生かすといったアプローチが、ホットな話題して伝わってきます。その一方、IoTデバイスの拡がりと共に懸念されるのが、情報漏えいやシステム侵害などに対するセキュリティ対策です。
適合評価とラベリング制度が始動
経済産業省は2024年8月、「IoT製品に対するセキュリティ適合性評価制度構築方針」を発表。関連業務の一部は2025年3月にスタートする予定です。アウトラインは後述しますが、セキュリティ対策が施されたIoT機器の周知と普及を目的としたものです。
IoTの用語が定着する以前から、機器同士が通信する機能は、製造ラインの制御や監視などの用途で稼働していましたが、当時からセキュリティリスクは指摘されていました。そしてIoTが普及した現在、課題が放置されたまま加速している現実があり、国が歯止めをかける一手として「評価制度」の形を打ち出したのです。
まずIoTの分野でセキュリティ対策が遅れている理由について、確認しておきましょう。
ハードウェアと設置環境に制約
IoT機器へのセキュリティ機能の実装が進まなかった理由は、いくつか挙げられます。
・小型軽量・低消費電力が求められるケースが多い
・多様な機器が接続され、統一的なセキュリティ基準の適用が困難
・無人環境に設置される機器も多く、継続的な監視が難しい
・サーバーやPCに比べ、人々のセキュリティ意識が希薄
まずハードウェアの問題ですが、IoT機器の多くは小型軽量・低価格化が求められます。プロセッサやメモリの性能に制約があり、ファイアウォールやアンチウイルスのような仕組みの実装は困難です。
適用分野は、製造、物流、医療、交通、ホームオートメーションなどに拡がり、領域によって求められる機能も少しずつ違います。ハードウェアの形状やOSなど動作環境の相違もあり、統一的なセキュリティ基準の制定が困難という現実もありました。
エネルギー施設や工場の監視、農業などの分野では、無人の環境に設置されるケースも多く、オフィスのような監視の目は行き届きません。またPCなどに比べるとIoT機器のライフサイクルは長く、欠陥があっても長期間放置されてしまうという問題もありました。
もう一つは、人々の意識です。
“被害を出した攻撃の多くは、高度な手口ではなく利用者の意識不足を突いたもの”
情報セキュリティの分野で昔から指摘されてきた点ですが、これはIoTにも当てはまります。オフィスの業務システムが狙われるサイバー攻撃に比べると、身近に感ずる被害とニュースも少ないIoTに対する危機感は、ユーザー企業も希薄だったと言わざるを得ません。
「Mirai」の被害から10年
IoTの危うさを知らしめたのは、2016年に発生した「Mirai」による犯罪です。
Miraiは、ルータなどのネットワーク機器、Webカメラ、センサー内蔵の監視機器などに感染を拡げるマルウェア。乗っ取った機器でボットネットを形成し、特定のサイトに一斉にデータを送りつけるDDoS攻撃を仕掛けて、複数のクラウドサービス、SNSなどを停止させるという大きな被害を出しました。
Miraiのソースコードはダークウェブで公開されたため、その後、多くの亜種が生まれ、余波は今も続いています。Miraiは初期設定のままのパスワード、既知の脆弱性などの弱点を狙いましたが、「Satori」や「qBOT」などのマルウェアも、同様の手口で攻撃を仕掛けており、対策に大きな進展は見られません。
15万台のWebカメラから情報を窃取
IoTマルウェアの攻撃にはいくつかのパターンがあります。
一つは、Miraiで実行されたようなガードがあまい機器に感染を拡げてDDoS攻撃を仕掛ける手口。特にルータやWebカメラなど表示装置がないデバイスは、意識的にメンテナンスの手を入れないと、踏み台にされも気付かないため注意が必要です。
もう一つは、システムへの侵入です。Miraiとその亜種はDDoS攻撃が中心ですが、その後に現れたマルウェアからは、攻撃者が指令を出すC&Cサーバーとの通信、侵入先からのデータ窃取、設定の書き換え、特定の通信機能の遮断など、いろいろな動きが確認されています。
これまでに表面化した事案では、産業用IoTデバイスを攻撃し、工場の安全を保つシステムの無効化を企てた「Trisis」というマルウェアや、Webカメラメーカー、Verkada社の製品の認証情報を盗み、15万台以上のカメラの映像から、企業や病院、教育施設などの情報を漏えいさせた攻撃などが知られています。
IoTセキュリティに「共通の物差し」を作る
冒頭で触れた「評価制度」の話に戻りますが、その目的は、「共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化すること」と記されています。
これまでも経済産業省や総務省、IPA(情報処理推進機構)などは、IoTに関する各種ガイドラインを発行し、並行して侵入されやすい状態の機器を検出して、プロバイダを通じて設置者に注意喚起する「NOTICE」などのプロジェクトも実践してきました。
NOTICEの概要図 出典:NOTICEプロジェクトのサイト 総務省
こうした活動は一定の成果を上げてきましたが、各ガイドラインの対象は限定的、「NOTICE」のような行動もスケールの点で限界はあるため、拡がり続けるIoTのセキュリティをカバーしきれないという課題は残ったままでした。そこで今回の制度では、より広範な分野を対象とし、機器に一定の評価とそれを証明するラベリングを施すことで、IoTセキュリティ全体の底上げを計っていきます。
安全性を可視化する「ラベル」
適合評価は、設計・製造から運用までを視野に入れたもので、制度設計は経済産業省とIPA、制度の運用はIPAが担います。経済産業省のサイトに、制度の目的、評価内容、制度の発展に向けた施策などを記した文書が公開されていますが、ここではユーザー企業との接点を中心にポイントを抽出します。
まず対象とするデバイスは、インターネットに直接つながるルータやWebカメラ、VPN装置などのネットワーク機器をはじめ、間接的に接続される産業機械、LANスイッチ、センサー、スマート家電などが含まれます。
制度の対象とするIoT機器の例
出典:「IoT製品に対するセキュリティ適合性評価制度構築方針」 経済産業省
制度のポイントは、広範な分野の製品に対し、ベンダーや導入企業、消費者が基準への適合を容易に確認できるようにした点です。レベル1~レベル4に区分し、レベル1では、各機器に共通して必要な最低限の適合基準を制定。レベル2以上は、それぞれの分野に応じたより厳しい基準が定められます。
適合性評価のレベルの概要
出典:「IoT製品に対するセキュリティ適合性評価制度構築方針」 経済産業省
レベル1とレベル2は、業界全体の負荷を軽減するため、メーカーが「自己適合宣言」できるようにしてあり、IPAにチェックリストを提出すると、適合を示すロゴとラベルの使用ができます。政府機関や重要インフラ、地方自治体、大企業などの利用を想定したレベル3と4は、分野ごとの汎用的なセキュリティ要件を定め、第三者機関が評価を行うことになっています。
制度のロゴと適合を示すラベル 出典:IPA(情報処理推進機構)
制度を起点にセキュリティ意識の更新を
レベル1は2025年3月からIPAが受付を開始する予定で、1月末には申請書も公開されました。申請時には、IoT機器のセキュリティに関する「統一的な最低限の適合基準」として、不正アクセス、マルウェア感染、踏み台などの脅威に対し、強固な認証の実装方法、ソフトウェアの更新方法などを記載します。
この制度は、一般企業にとっても安全対策の足場になるはずです。現在は中小企業も、データ収集や製造・物流の効率化などでIoTと接している事業者は多いのですが、そうした業務の多くは導入と運用が比較的容易なレベル1~2が適用できます。
この仕組みを活用すると、例えば、業界団体などが制度への適合を条件とし、クリアしているIoT機器だけでサプライチェーンの流通管理システムを構成するような形も可能になるでしょう。
ラベルへの“過信”には注意を
評価制度の稼働と浸透によって、IoT分野のセキュリティ対策の底上げが期待できます。
その一方、「基準」や「制度」は決定打ではない点には注意が必要です。IPAのサイトにも、ラベリングは“最低限満たすべき水準に達していることを確認するもので、ラベル付与は安全・完璧なセキュリティを保証するものではない点に注意を”という内容の一文があります。
IoTの分野に限らず、先鋭的な攻撃者の役割はガードの突破です。仮にIoT機器が安全だとしても、周辺システムや運用面から綻びが生ずるリスクはゼロにはできないでしょう。適合基準をクリアした機器の稼働時も、新たな脆弱性など製品情報の確認と定期的なログチェックなどの基本は欠かせません。
もう一つ、現在のIoT導入企業に必要な対策はタイムリーな情報の入手です。
10年前、Miraiのソースコードがダークウェブに流れ、IoT機器の脆弱性情報やこの分野に特化したマルウェアも売買されました。当時に比べダークウェブの規模が拡大し、犯罪者のすそ野も拡がった現在、脅威インテリジェンスが発信する関連情報のチェック、万一の情報流失に備えたダークウェブモニタリングなどのツールの利用も欠かせなくなっています。