急がれるIoTの
セキュリティ対策

日本政府も取り組み強化!つながる社会、つながる工場の安全な発展

日本政府はIoTのセキュリティ強化に向けて様々な業界に働きかけてきた。トレンドマイクロでもIoTのサイバーリスク低減に向けたソリューションを提供してきたが、ここにきて日本政府は取り組みを加速させ、IoTのデバイスメーカーやサービスプロバイダはセキュリティ対策の強化を急ぐ必要に迫られています。ならば、このようなIoTの事業者はどのような脅威に注意を払い、いかなる対策を講じるべきなのか。その答えを、IoT/M2Mソリューションの総合イベント「IoT/M2M展」(主催:リード エグジビション ジャパン株式会社/会場:東京ビッグサイト/会期:2019年4月10日~12日)におけるトレンドマイクロの展示を交えながら考察する。

日本政府がIoTデバイスの技術基準を改正へ

一般家庭や社会インフラ、製造企業などへのIoTの普及が進むなか、IoTデバイスが乗っ取られ、大規模なDDoS攻撃(※1)。に悪用されたり、IoTデバイスの不適切なパスワード設定がサイバー犯罪者に狙われたりするケースが増え始めている。実際、トレンドマイクロが、フランス、ドイツ、日本、米国、英国のIT企業に対して行った調査(※2)を見ても、過去1年間で各社のIoTデバイスがサイバー攻撃を受けた回数は平均3回に及び、「過去1年間で攻撃増加の認識あり」と答えた回答者は全体(n=1,150名)の54%に上っている。

このようなIoTのサイバーリスクについては、トレンドマイクロや大学・研究機関の有識者が早くから警鐘を鳴らし、IoTデバイス/サービスを提供する企業に対策強化を訴えかけてきた。その中で、日本政府もIoTデバイスのセキュリティ強化に本格的に乗り出し、総務省は2019年2月20日から「NOTICE」と呼ばれる脆弱性調査を始動。これは、インターネット上にあるIoTデバイスを一斉調査し、サイバー攻撃に悪用される恐れのある機器を特定して、その情報をインターネットプロバイダに通知。インターネットプロバイダは、当該機器の利用者を特定し注意喚起するという試みです。また同省は、2019年3月1日に公布された「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令」(※3)を公布し、IoTデバイス(※4)のセキュリティ強化に向けた技術基準にセキュリティ対策を追加する改正内容を明らかにした。それによると、技術基準改正後は、以下のような機能の実装を『最低限のセキュリティ対策』として、IoTのデバイスメーカーやサービスプロバイダといった事業者に求めることになる。

①アクセス制御機能(IoTデバイスにアクセスしてくる利用者を識別し、制御する機能)
②アクセス制御に使用するID/パスワードの適切な設定を促すなどの機能
③ファームウェアの更新機能
または、➀~③と同等以上の機能

  1. DDoS攻撃:DDoSは、Distributed Denial of Service の略称で、分散型サービス拒否攻撃のこと。侵入した複数のデバイス機器から標的のサーバに対して攻撃パケットを送信することでサーバの停止などサービス妨害を引き起こす。
  2. 調査の対象:IT企業に所属する、情報システム/情報セキュリティ意思決定者
  3. 資料:総務省『端末設備等規則及び電気通信主任技術者規則の一部を改正する省令』
  4. 今回の改正技術基準の適用対象となる機器は、IPを使用し、電気通信回線設備を介して接続することで、電気通信の送受信にかかわる機能を操作することが可能な端末設備全般となる。パソコンやスマートフォンなど、利用者が随時、ソフトウェアの更新が可能なデバイスについては基準に追加されるセキュリティ対策の対象外とされる。

この改正基準は2020年4月1日に施行され、IoTの事業者は上記の対策について待ったなしでの対応が求められている。

今回のIoT/M2M展で、『対応急務!IoTサービス業界に求められるサイバーセキュリティ』と題したセミナーをトレンドマイクロブース内で展開したIoT事業推進本部シニアマネージャーの原 聖樹は、IoTデバイスが内包する問題点について改めて紹介した。

「PCやスマートフォンとは異なり、組み込み型のIoT デバイスの多くは、サイバー攻撃を受けることを前提に作られておらず、機器を使うユーザ側も組み込み型デバイスは安全という思い込みが強くあった。ゆえに、組み込み型のIoTデバイスでは、開放する必要のないポートが開いた状態でそのまま使われ、インターネット上に晒されている、またはファームウェアが更新されず、既知の脆弱性を潜在させている、ID/パスワードが製品出荷時のデフォルト設定のままで簡単に見破られる、といった状態になっているわけです」

もちろん、サイバー攻撃者はかなり前から、そうしたIoTデバイスの脆弱性をめがけて攻撃を仕掛けている。「ですからIoTの業界全体でセキュリティ強化に一刻も早く取り組むことが必須で、今回の日本政府の取り組みにより、その動きが一気に加速すると期待しています」(原)。

IoTデバイスのセキュリティ対策に対する日本政府の動向について解説する原 聖樹 氏 (トレンドマイクロIoT事業推進本部シニアマネージャー)

つながる世界を守るIoTのエコシステム

サイバー攻撃への守りに脆弱性が散見されるのは、産業制御システムについても同様だ。例えば、トレンドマイクロの調査機関である Trend Micro Research は、ミラノ工科大学(POLIMI)と共同で産業用ロボットに対する調査を実施し、ロボットのコントローラに外部ネットワークから侵入し、コントローラのパラメータの改ざん、ロボットの実行プログラム/コマンドの改ざんが可能なことを実証した。この攻撃によって、ロボットに予期しない動作や不正確な動作を実行させ、ロボットの損傷や欠陥製品の製造といった影響が想定された(図1)。

図1:産業用ロボットに対するサイバー攻撃の例

同様に、ラジオ電波(Radio Frequency:RF)を使う産業用リモートコントローラも、通信プロトコルにセキュリティが実装されていない場合、さまざまな攻撃を受ける可能性がある。この攻撃によって工場内重機の緊急停止コマンドが悪用されたり、プログラムが不正に書き換えられたりすれば、遠隔操作や誤動作による物損や作業員の負傷といった恐れすら想定される(図2)。

図2:産業用リモートコントローラに対する攻撃の例

このように、IoTデバイスや産業用制御システムには脆弱性がさまざまに潜在する。そのため、IoTによって快適で便利な暮らしを実現するうえでも、情報活用による産業のスマート化・自動化を推進するうえでも、IoTのデバイスメーカーやサービスプロバイダの事業者が、製品/サービスの設計・製造・運用管理のあらゆる側面においてセキュリティ対策を実装することが不可避となるでしょう。

とはいえ、スマートホーム、スマートカー、スマートファクトリーなど、各領域に特化したIoTの事業者では、必ずしもサイバーセキュリティ/脅威に精通した人材がいるとは限りません。そこでトレンドマイクロでは、クラウド、ネットワーク、デバイスのそれぞれで守るソリューションを提供しており、その中で各業界用のIoTデバイスメーカーやサービスプロバイダ向けには組み込み型のセキュリティソリューション「Trend Micro IoT Security(TMIS)」(図3)を提供し、各社の製品/サービスへのセキュリティ機能の実装を支援している。

図3:Trend Micro IoT Securityのスキーム

今回のIoT/M2M展でも、TMISを採用したセキュアなIoTサービスの具体例として、パートナー企業のソリューションを紹介したほか、「つながるデバイスの保護」として、TMISの実装検証が完了した各社のデバイスを展示し、ソリューション展開の広がりを披露した。これらのデバイスは、日々の生活空間や工場の現場などで接する可能性のある組み込み型デバイスだ。加えて、生産設備のIoT化によって生じるサイバーリスクから工場を守るためのソリューションの展示/デモも展開し、設備の稼働停止につながりうるサイバー攻撃の検知と対処のソリューションを、実装例を交えて紹介した。

トレンドマイクロの専門知を軸に広がる安全なIoTエコシステム

つながる世界を守るためにトレンドマイクロが貢献できるものは何でしょうか?それは、最新脅威の特定や数年後に起こりうるセキュリティリスクのリサーチを通じて培ったサイバーセキュリティの専門家としての知見提供、その専門知をIoTの事業者と連携して業界特化のIoT製品/サービスへと押し広げ、さらに政府と協力して「安全なIoTエコシステム」を築いていくこと ── トレンドマイクロはこれらの活動により安全な世界の実現に貢献していく(図4)。

図4:安全なIoTエコシステムを実現する主な要素

TMISは、多種多様なIoTデバイスをサイバー攻撃から保護する役割を担っていく。写真の各デバイスはTMISが実装可能なIoTデバイス。

今回のIoT/M2M展では、“つながる工場”のセキュリティ対策として、稼働停止につながるサイバー攻撃から生産設備をどう保護するか、気づきにくい工場への攻撃をどう見える化 するか、その実装例/デモを展開し、来場者の関心を集めた。

IoT/M2M展報告

広がるトレンドマイクロの「安全なIoTエコシステム」

今回の「IoT/M2M展」では、トレンドマイクロとともにIoTサービスのセキュリティ強化に取り組む3社の事例を紹介した。その中の一つは、株式会社セラクとの取り組み例だ。同社では、農業向けのIoTサービス「みどりクラウド」のセキュリティ強化のためにTMISを採用している。みどりクラウドは、温室のボイラー制御や窓の開閉を遠隔から行ったり、農地の状態(温・湿度、日射量など)の遠隔監視を行ったりするためのIoTサービスである。TMISによるセキュリティ強化は、農家の栽培ノウハウという知的資産の流出や温室の不正制御を防ぐうえで重要な施策であるという。

また、IoTプラットフォーム「Toami」のプロバイダー、日本システムウエア株式会社は、TMISの連携により管理機器への様々なセキュリティリスクの検知また防御を行い、IoTサービスの可用性を高める、「Toami Edge Security」を発表し、ユーザのビジネス展開・強化を実現するセキュリティ監視サービスを紹介した。

さらに、コネクシオ株式会社との取り組み例として、TMISを採用したコネクシオの「Smart Ready IoTセキュアパック」の事例も示した。同セキュアパックはコネクシオが提供するIoTソリューションテンプレートのすべてに適用可能で、今回紹介したのは、メーター数値を読み取りデータ化するテンプレートを紹介し、そこに使われるIoTゲートウェイに対する攻撃・不正アクセスの防止にTMISを生かす取り組みである。

このように、IoTサービスの業界では、トレンドマイクロの専門知とソリューションを活用し、それぞれが得意とする業界に向けたサービスの安全対策強化に乗り出している。トレンドマイクロの推進する「安全なIoTエコシステム」は業界をクロスしながら着実な広がりを見せている。

記事公開日 : 2019.7.4
 この記事は、公開日時点での情報です

TREND MICRO、Trend Micro Smart Protection Network、および SPNはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2019年6月現在のものです。内容は予告なく変更になる場合がございます。