つながる世界のセキュリティ対策
IoT を活用したビジネスをサイバー攻撃から守るために

IoTの潮流が勢いを増し、多種多様で膨大な数のデバイスがインターネットに接続されるなか、サイバー攻撃のリスクも大きく膨らみ始めている。IoTを取り巻くセキュリティリスクとは、そして、それをどう防御するのが適切なのか──。IoTセキュリティ対策のあるべき方向性について掘り下げてみたい。

サイバー攻撃の新たな標的に

実世界のモノ・人・自然現象の動きをリアルタイムにセンシングし、そのデータを収集/分析して、新たなサービスや仕組み作りに活かす──。

IoTの潮流は、様々な産業のデータ活用のあり方、製品のあり方、サービスのあり方、ひいてはビジネスモデルのあり方に変革を引き起こし始めている。その流れの中で、センサーや監視カメラ、家電、自動車、産業用機器・システムなど、実に様々な“モノ”がインターネットに接続され、新しいサービス・仕組みが生まれている。

ただ、あらゆるモノがインターネットに接続されるIoT 時代では、これまで以上に多くの製品・サービスが、サイバー攻撃の標的とされる可能性がある。総務省の『平成28年版情報通信白書※1』の中でも、『(IoTによる)データの流通を通じた価値創造や課題解決を実現するためには、サイバーセキュリティの確保が重要な前提となる』と指摘されている。
そして実際にも、IoTのセキュリティインシデントがいくつも顕在化しているのである(表1)。

表1:2015年、2016年に発生したIoTのセキュリティインシデントの事例

IoT に潜在するセキュリティリスク

IoT時代にリスクが増える要因として、デバイスの脆弱性と常時接続があげられる。

インターネットに接続され始めたモノ(IoTデバイス/システム)は、脆弱性を内包していたり、サイバー攻撃に対する防御対策が十分でないなど、セキュリティに課題を抱えているものが少なからずある。例えば、トレンドマイクロの脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は2016年、SCADA(Supervisory Control And Data Acquisition:産業用監視制御システム)16製品で177件(対前年421%増)もの脆弱性を見つけた※2。 SCADAは、多くの工場・プラントで採用されているほか、水道・電気・ガスなどの公共施設/サービスでも使われている重要なシステムだ。その脆弱性を利用した攻撃は、私たちの生活インフラに重大な被害をもたらしかねない。

また、スマートテレビといった家電への採用が進むAndroid OSについても、52個(対前年206%増)の脆弱性を発見している※3。2016年には、こうしたIoTデバイスのリスクを浮き彫りにする攻撃も確認された。サイバー犯罪者が、監視カメラなど、脆弱性が存在する約10万のIoTデバイスをマルウェアに感染させてボットネットを構築、DNSプロバイダにDDoS攻撃を仕掛けたのだ。これにより、様々なWebサイトやサービスが数時間にわたって停止した。

家庭内IoTデバイスの場合、セキュリティ上の問題を抱えるTelnet などの通信プロトコルが利用されていたり、セキュリティ確保のために最低限必要な設定やファームウェアの更新がなおざりにされていたりするケースがしばしば見受けられる。それが家庭内ネットワークへのサイバー攻撃者の侵入、個人情報の窃取、DDoS攻撃での家庭内IoTデバイスの悪用などにつながっている。

これまで、こうしたセキュリティ上の問題・脆弱性を抱え込んだ多くのIoTデバイスが24時間365日、インターネットに接続された状態に置かれてきた。結果として、IoTデバイスはサイバー犯罪者の格好の標的となり始めている。また、IoT デバイスのハッキングを自動化するツールがWebで公開されるなど、攻撃者側の裾野も拡大している。攻撃の目的も、覗き見などの悪戯的な犯行から、ランサムウェア攻撃や、IoTデバイスを踏み台に企業や公的サービスのインフラを狙うなど、より深刻度の高いものに広がっている。

対策の必要性

では、IoTのサイバーリスクを低減するために、どのようなセキュリティ対策を講じるべきなのだろうか──。

結論から先に言えば、それはデバイス、ネットワーク、そしてデバイスの接続先であるクラウドに至る、各レイヤーの防御を固めることだ。例えば、デバイスはライフサイクルを念頭におき、セキュリティ対策を考慮した設計が必要になる。ただし、デバイスの対策だけでIoTのセキュリティを確保するのは難しい。センシング・データの収集・蓄積・分析の場であるクラウドやネットワークの守りが弱く、そこをサイバー犯罪者に突かれてしまえば、情報漏えい等の被害を引き起しかねないからだ。

IoT サービスのためのネットワークは、様々なプロトコル、膨大な数のデバイスに対応する必要があり、新たな環境に適したセキュリティ対策が求められる。クラウド上のサーバは現在でも情報の宝箱と言えるが、IoT時代には、デバイスが収集するデータが膨大となり、蓄積・分析する場所としてクラウドの活用が必須と言えるだろう。情報漏えいリスク低減に加え、サービスを停止させないためにも、クラウドでのセキュリティ対策はより一層重要になっている。

こうした考え方の下、トレンドマイクロでは、図1に示すように、各レイヤ―別にそれぞれソリューションを提供している。次ページからはIoTデバイスの普及が進む「家庭(Connected Home)」「自動車(Connected Car)」「工場(Smart Factory)」の各領域別に、サイバーリスクとセキュリティ対策、そしてトレンドマイクロのソリューションについて、ご紹介する。

図1:Trend Micro IoT Securityフレームワーク(フルレイヤープロテクション)

 IoTのセキュリティを確保するためには、デバイス、ネットワーク、クラウドにおける防御が必要だ。

Connected Home
──つながる家を攻撃から守るには

家庭内のすべてのデバイスをネットワーク化し、インターネット/クラウドにつなげ、家全体をインテイジェント化する──。それが、「Connected Home」の考え方だ。

こうしたConnected Homeの時代が本格的に到来すれば、PCやスマートフォンはもとより、冷蔵庫、エアコンなどの家電製品やゲーム機、監視カメラ、ドアセンサー、玄関のドアキーに至るまで、あらゆるデバイスが、サイバー攻撃から保護すべき対象になる。もし、そのうちの1つでもマルウェアに感染した場合、家庭内のすべてのデバイスがマルウェアに侵され、全体が制御不能に陥るおそれがある。

求められる対策

このようなサイバーリスクを低減するために、トレンドマイクロが提供しているのが、「ウイルスバスター for Home Network」である(図2)。家庭内ルータにこの製品を接続することで、利用するデバイスの一括管理・保護が可能になり、家庭内ネットワークに接続されたデバイスを検知し、不明なデバイスは遮断できる。さらに、こうした家庭内ネットワークに接続されたデバイスであれば、詐欺サイトやウイルス感染のおそれのある不正サイトへのアクセスをブロックするとともに、外部からの不正な遠隔操作やネットワーク攻撃からも防御できる。子どものインターネットの使い過ぎを防止するため、利用時間に制限をかけることも可能だ※4

また、トレンドマイクロでは、ネットワーク機器ベンダー/通信事業者/サービス事業者などと協業し、同様のセキュリティ技術(「Trend Micro Smart Home Network」)のOEM提供を通じて、家庭内のスマート家電の安心・安全を保護していく計画だ。

図2:ウイルスバスター for Home Networkの提供価値

Connected Car
──つながる自動車を攻撃から守るには

自動ブレーキ/自動走行など、自動車のインテリジェント化は着々と進み、それにつれて車載ソフトウェアは大規模化・複雑化が進み、開発の品質確保と効率化をどう両立させるかが大きな課題となっている。

一方で、エンジンやブレーキといった車両の状態や、周囲の道路交通状況など、さまざまなデータをセンシングし、収集・分析して新しい製品付加価値・サービスにつなげるというConnected Car の取り組みも活発化している。その中で、警戒されているのが自動車のサイバーリスクだ。

かつての自動車は、外部のネットワークから切り離されたスタンドアロンの仕組みだった。そのため、ネットワーク越しに第三者にハッキングされるリスクとは無縁だったと言える。

ところが現在の自動車は、外部ネットワークとつながり、サイバーリスクと無縁ではいられなくなっている。しかも、前述したとおり、今日の車載ソフトウェアは巨大かつ複雑で、その中に攻撃可能な隙が生まれる可能性もなくはない。実際、前出の表1にあるようなハッキングの実験例も出始めている。こうしたリスクを確実に排除していくことが求められている。

求められる対策

こうした重要課題に対応すべく、トレンドマイクロでは、カーナビゲーションシステム(以下、カーナビ)の対外接続入口「IVI」の防御を固めることを柱に、自動車メーカーや車載機器メーカーとの検討を始めている。

例えば、IVIを通じて対外接続を行うカーナビが、自動車の制御系システムとつながっている場合、カーナビの脆弱性が突かれ、マルウェアに感染することで、自動車が操作できなくなる、あるいは外部からの不正操作が可能になるおそれがある。

こうしたサイバーリスクを低減するためにトレンドマイクロでは、「Trend Micro IoT Security」と呼ばれる組込機器向けセキュリティソリューションを提供している。SDK(Software Development Kit:ソフトウェア開発キット)をIVIに組み込むことで、カーナビを常時監視し、脆弱性を検知、仮想パッチを適用して、攻撃を中断させることが可能になる。また自動車メーカーや車載機器メーカーは、セキュリティダッシュボード上から、利用中の自社製品のセキュリティリスク状況を集約・視覚化することができる。

 

図3:Connected Carに向けたトレンドマイクロのセキュリティソリューション

Smart Factory
──つながる工場を攻撃から守るには

ドイツ政府が「Industry 4.0」の構想を打ち出して以降、各国の製造業の間で「Smart Factory」の実現に向けた動きが活発だ。それは、工場内のあらゆる機器をネットワーク化してインターネットに接続し、センサーなどで収集したデータの分析/活用を通じて、生産プロセスの最適化・自動化を実現しようとする流れだ。そんな潮流の中で、日本の製造業の間でもIoTによって生産工程全般を可視化し、プロセス改善に役立てようとする動きが始まっている(参考:経済産業省『2016年版ものづくり白書』※5)。

一方で、工場の機器がネットワーク化することで、新たなリスクが懸念される。工場のネットワークが情報系ネットワークとつながり、本社や別拠点とつながるようになることで、工場内のすべての機器が外部からのサイバー攻撃の脅威にさられるからだ。仮に、情報系ネットワークを経由して工場内ネットワークに脅威が侵入し、工場の操業停止を余技なくされれば、企業は大きな経済的ダメージを被ることになる。

求められる対策

このようなSmart Factoryのサイバーリスクを低減する上では、多層防御の施策を展開することをお勧めする。具体的にはまず、工場ネットワークの入口の防御を固めて、外部ネットワークからの脅威の侵入や脆弱性攻撃を防ぐ。その上で、工場ネットワーク内部の監視を強めて、脅威の可視化や早期検知を可能にしておく。そして、工場内の端末やサーバに対してウイルス感染防止対策や脆弱性対策などを施し、サイバーリスクを低減していくのである。

もっとも、通常のIT 環境とは異なり、工場のシステムは、安定稼働や一瞬の処理パフォーマンスの低下も許されないような仕組みであることが多い.そのため、サーバや端末上でパターンファイルの更新やウイルス検索などを発生させる通常のウイルス対策ではなく、予めリストアップしたアプリケーションだけしか実行を許可しないロックダウン型のウイルス対策が求められる場合もある。

トレンドマイクロでは、こうした工場特有のニーズに適用したソリューション群を提供している(図4)。例えば、工場ネットワークの入口に設置し、不正侵入を防止するネットワークセキュリティ製品「Tipping Point」、工場内ネットワークの内部監視用に、ネットワーク型脅威対策製品「Deep Discovery Inspector」、生産ラインの制御端末向けにロックダウン型ウイルス対策ソフト「Trend Micro Safe Lock」、そして工作機械向けに「Trend Micro IoT Security」を提供している。その他、インストールできない端末にも使用可能なUSB型のウイルス検索・駆除ツール「Trend Micro Portable Security 2」などがある。

 

図4:Smart Factoryに向けたトレンドマイクロのソリューション群

※ A: ウイルス対策を行うためのパターンファイルは不要です。ただし、エージェントの事前検索や管理コンソールの代理ウイルス検索を利用する場合は、パターンファイルが必要となります。なお、事前検索時に使用する検索エンジンやパターンファイルは、エージェントインストール後に削除されます。
※ B: ウイルス検索時に、一時的に検索対象端末にドライバおよびローカルHDDにファイルを作成しますが、検索終了後、検索対象端末に当該ドライバおよびファイルは残りません。(USBブート検索を行った際、ログを検索対象端末のローカルハードディスクに作成するか選択可能です)検索対象端末にTMPS2を挿入した際、パターンファイル更新やウイルス検索の自動実行を行う場合は、検索対象端末に検索ツールエージェントをインストールしておく必要があります。

※ 1 『平成28年版情報通信白書』はこちらから
※ 2 、3 トレンドマイクロ 2016年年間セキュリティラウンドアップ(2017年3月)
※ 4 USBメモリや、メールに添付されてくるウイルスなど、ネットワーク上の攻撃でないものやご家庭のネットワーク外での端末ご利用時は本製品の保護対象外となるため、PCやスマートフォンには従来のセキュリティソフトが必要です。設定は家庭のルータに本機をLANケーブルで接続し、スマホ、もしくはタブレットに管理用アプリをインストールする必要があります。
※ 5 『 2016年版ものづくり白書(ものづくり基盤技術振興基本法第8条に基づく年次報告)』はこちらから

記事公開日 : 2017.08.25
 この記事は、公開日時点での情報です