> > セキュリティ専門家はどう見る ~ 2017 年の IoT セキュリティ

RSSフィード

セキュリティ専門家はどう見る ~ 2017 年の IoT セキュリティ

IoT のセキュリティを懸念する声が出始めて数年 ― 2017 年は IoT に対する攻撃や標準的セキュリティ対策の不在が日常的な問題となる?

544113042.jpg調査会社の Gartner によれば、2016 年に世の中に存在していた IoT デバイス数は推定 64 億個で、2020 年までには 200 億個を超えるだろうと予測しています。驚くべき数の IoT デバイスが出回っている一方、基本的なセキュリティが存在しないという重要な問題を IoT 産業全体が抱えています。

ここ数年間で、何人もの専門家が IoT セキュリティの脆弱性について警鐘を鳴らしてきました。IoT デバイスに対するハッキング事件は幾度かの前例がすでにありましたが、2016 年 10 月になると、ついにはせきを切ったような DDoS 攻撃が発生し、Twitter や Netflix、Reddit、それに英国政府のウェブサイトを含む大規模なサイトに襲いかかりました。この DDoS 攻撃に使われたのは、セキュリティ対策が不十分な IoT デバイスで構成された Mirai ボットネットだったと伝えられています。

それでは、IoT に関して、今年はどのようなことに備えればよいのでしょうか?数多くのセキュリティ専門家が今後について考察していますので、その中からいくつかを厳選しました。

IoT ランサムウェアの可能性

これからは IoT 絡みの脆弱性が増え、攻撃も増えるものと思われます。同時に、さまざまなセキュリティ対策の標準化に対する需要も高まります。「Predictions 2017: Security and Skills Will Temper Growth of IoT」(2017 年予測:セキュリティとスキルが IoT の成長を左右する)と題するレポートで Forrester は、昨年 10 月の DDoS 攻撃は「IoT デバイスを悪用する例としては氷山の一角」にすぎないと述べています。

Webroot で製品戦略および技術アライアンスを担当するシニア VP の Chad Bacher 氏は、IoT デバイスを標的とするランサムウェアが出現するだろうと、さらに進んだ考えを示しています。一般的に、IoT デバイスは機密情報を蓄えることもなければ、身代金を要求する脅迫状を表示するインターフェースを持たない場合も多いのですが、それでもランサムウェアは増殖し続け、さらに破壊的になると Bacher 氏は言います。データや技術、それらを活用する新しい方法が現れれば、犯罪者は個人情報やデジタル資産を暴く方法を必ず見つけて、標的から身代金を奪うでしょう。

Paloalto も IoT 型ランサムウェア の登場を予言しており、すでに IoT デバイスの中に潜む脆弱性が、最終的には工場の生産ラインを停止させるなど、大規模な被害を招くことになると言います。

大規模インフラに対する攻撃

IoT というと、モバイルデバイスや家庭向けのスマートアプライアンス、あるいはスマートカーを思い浮かべる人がほとんどで、送電システムや航空電子機器(アビオニクス)、鉄道系システムといった大規模インフラを連想する人はあまりいません。安全なアクセスソフトウェアの開発を手がける Bomgar 社のCEO、Matt Dircks 氏は、CIO 誌のインタビューに対して「送電システムや鉄道をはじめとする輸送システムを狙った大規模なハッキングが 2017 年に発生する」可能性はかなり高いと話しています。

主たる問題は、世間が個人向けスマートデバイスに注目するあまり、公共システムが社会を広く支えていて、それらのシステムに使われている技術にはセキュリティが不十分なものが存在することが忘れられがちな点です。現在、まさしくモバイルデバイスを苦しめているセキュリティ上の脅威が元になり、各種インフラを大きな危険にさらす可能性があります。そのような事態を防ぐため、組織は備えを怠らないよう努める必要があります。

人工知能(AI)の普及

IoT は脅威以外の面でも進化が続き、2017 年には新たな段階を迎えます。Forbes によるこちらの記事によれば、IoT ソフトウェアは「エッジデバイスからゲートウェイ、クラウドサービスに至るすべて」に広く配置されるようになり、結果として人工知能(AI)やクラウド型機械学習サービスが、IoT デバイスとの通信に加え、データを収集するのに使われる機会が増えます。

これは小売業をはじめ、さまざまな業種にとって大きな進展です。たとえば、小売業において毎年発生する損害の 30 % は、店頭精算時の商品見落としを検知できないことが原因です。IoT と AI を組み合わせれば、詳細なデータの収集と分析を行って、先のような問題を解決するだけでなく、さらに広い範囲の課題に対処できます。Radius 社の CEO、Darian Shirazi 氏は、高品質なデータがビジネスの変革および改善を推進する助けになると述べており、前述の考え方を裏付けています。
しかしながら、これらの進歩には新たな攻撃対象領域に加え、ハッキングやマルウェア、脆弱性の悪用といった脅威がついて回ります。IoT および IoT に続く技術が成功するには、それらを支えるセキュリティもしっかりしたものでなければなりません。

IoT のセキュリティに対する責任

Paloalto によれば、IoT はまだ初期の状態にあり、セキュリティに絡む既存の欠陥がどの範囲まで、またどの程度の影響を及ぼすかは分かりません。なぜなら、現在利用されているデバイスの「処理能力や接続機能は限られている」からです。加えて、IoT およびクラウドサービスを実装する際、具体的にだれがデバイスのセキュリティに関する責任を持つのかが、あいまいです。多数のデバイスを管理する社内の IT 部門なのか、適切なセキュリティを組み込まなかった IoT デバイスのメーカーなのか、それとも個々の消費者なのでしょうか。

Paloalto のセキュリティ専門家は、デバイスを開発、生産および提供する組織は、デバイスが運用時に置かれるネットワークだけでなく、開発の段階からセキュリティを組み込むよう、集中的に努めなければならないと主張します。SecurityIntelligence の専門家もこれに賛同しており、最低限のセキュリティ基準にすら準拠していない、無防備なデバイスの販売をメーカーにさせないためにも、効果的な経済的圧力を適用するよう当局などに求めています。

IoT に対する意識の向上

従来、公開鍵暗号基盤(PKI:Public Key Infrastructure)といえば、エンタープライズ向けセキュリティソリューションを担う技術でした。今後は、特にデバイスやネットワークの進化と拡大が続き、これにともないセキュリティに対する懸念も深まることから、IoT の世界でも重要な役割を果たすでしょう。ネットワーク間で転送されるデータに関係する ID や認証、暗号化の確立は不可欠です。PKI は実績のある技術であり、デバイスの通信におけるセキュリティを確保するソリューションを提供します。

IoT 成功の鍵を握るのは、組織が IT 関係者とリーダーの間でオープンなコミュニケーションを築くことです。円滑な対話を通じて、新たな潜在的脅威についての理解を得ると同時に、それらの脅威を防ぐ上でどのような課題や制約があるのかを理解しなければなりません。IoT のセキュリティに関する現行慣習の弱点や、それらを補う方法の選択肢について標準的な知識があれば、次から次へと発生する攻撃に対し、利用者はあらかじめ備えやすくなります。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: What Security Pros Predict for IoT Security in 2017 - [2016 年 12 月 22 日投稿]