IoT時代に求められる情報セキュリティ

IoT時代に求められる情報セキュリティ

1.目前に迫るIoT時代、課題となる情報セキュリティ

これまでインターネットに接続していなかったモノがインターネットに接続するIoT機器。交通機関や医療分野、住宅や農業など幅広い分野への活用が期待され、実現する5Gのインフラ整備も世界的に急速に進められています。これから数年の間に、インターネットに接続するIoT機器の数は500億を超えると予測されています[1]。

そこで急務の課題となっているのが、情報セキュリティです。そもそもIoT機器はモノとしての使用に主眼を置いているため、機能や性能が限られており、パソコンのような高度な情報セキュリティを備えていないことがほとんどです。さらにIoT機器には、車や家電製品、医療機器や住宅などライフサイクルが長いものも多く、パソコンのようにアップデートなどの管理が難しいという面もあります。使用範囲が広く、製品の設計時に接続シーンが十分に想定しきれていないなど新技術特有の問題もあるようです。

この脆弱性によりサイバー攻撃の侵入経路としても狙われやすくなっており、情報セキュリティの面で大きな課題を残していると言えます。

2.IoT提供者が備えるべきポイントとは

IoT機器の情報セキュリティには、設計・製造段階から、流通・販売、製品の使用時まで、各段階において、機器メーカーやIoT機器を利用したシステムおよびサービスの提供者、企業を含めたエンドユーザーそれぞれに高い意識を持った対策が求められます。経済産業省が2016年にリリースした「IoT セキュリティガイドライン」では、リスクの想定から機器設計時の留意点、インシデント発生時への対策までを網羅しています。このガイドラインを基に、以下に、IoT提供に関わる事業者に向けたポイントをまとめています。

◆経営者に求められること ~IoTの性質とリスクを理解し、基本方針を定める~
IoTシステム・サービスの提供に関わる全事業の経営者が、IoT機器が使用されるシーンやケース、影響が及ぶシステムやネットワーク、考え得るリスクなどを十分理解し、対策・方針を明確にするとともに、状況の変化に柔軟に対応しながら随時見直しを図ることが重要です。

◆機器メーカーに求められること ~守るべき機能を明確にした設計にする~
機器メーカーにおいては、設計時よりインシデントに備える設計が求められます。機器が不特定多数のネットワークと接続する可能性を前提に、機器を安全に利用するために本来守るべき重要な機能が損なわれることがないように配慮する必要があります。また「モノ」である以上、紛失や盗難、転売・二次使用、または管理者のいない場所での使用など物理的なリスクに想定した対策も求められています。

◆システム・サービスの提供者に求められること ~安全な接続環境を確保し、被害を最小限に抑える~
提供するIoT機器のセキュリティレベルに合わせたシステム・サービスの提供が必要です。安全な初期設定や認証機能を導入するとともに、機器自体のセキュリティのみに頼らないネットワーク接続を採用するなどの対策も考えられます。また不正なアクセスを感知したりウィルスへの感染が確認されたりした場合には、自動でネットワークの接続を切断するなど、被害の拡大を防ぐことも大切です。

さらにIoTシステム・サービスの提供においては多くのプレーヤーが存在するため、インシデントの発生時に誰がどのような役割を担うのかといった交通整理など、業界全体での情報・認識の共有も重要な課題となっています。

(文/星野みゆき 画像/© jamesteohart – Fotolia)

参考:

[1] 総務省. (2015). 平成27年版 情報通信白書|ユビキタスからIoTへ
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc254110.html

[2] 総務省. (2016). 「IoTセキュリティガイドライン ver 1.0」
http://www.meti.go.jp/press/2016/07/20160705002/20160705002-1.pdf