Raspberry Piのセキュリティ(後編)-Raspberry Piのためのセキュリティ対策-
今回の後編では、今後もますます利用の拡大が想定されるRaspberry Piを利用するユーザのセキュリティへの意識と具体的なセキュリティ対策について、トレンドマイクロが実施したRaspberry Piの利用実態調査(2020年4月) を基に解説します。
IoTの普及を担うRaspberry Piのセキュリティ(前編)では、昨今のDX (Digital Transformation) やIoT (Internet of Things) の市場において利活用が増えているシングルボードコンピュータ (SBC) であるRaspberry Pi (ラズベリーパイ) の利用実態とその利便性について解説しました。今回の後編では、今後もますます利用の拡大が想定されるRaspberry Piを利用するユーザのセキュリティへの意識と具体的なセキュリティ対策について、トレンドマイクロが実施したRaspberry Piの利用実態調査*1 (2020年4月) を基に解説します。そして最後に、Raspberry Piをセキュリティ脅威から保護するために必要な対策として、トレンドマイクロが提供するRaspberry Pi向けセキュリティソリューションについてご紹介します。
Raspberry Piへのサイバー攻撃事例
Raspberry PiはDXやIoTを考える上で本当にサイバー攻撃の脅威となりうるのでしょうか?
もちろん、一般的なPCやサーバに限らずRaspberry Piもサイバー攻撃の標的となります。業界的にも大きなインパクトを与えた事例として、2019年6月に米国航空宇宙局 (NASA) で発生したセキュリティインシデントがあります*2。これは、NASAのジェット推進研究所 (JPL) のネットワークに無断でRaspberry Piが接続されたことが発端となります。このRaspberry Piは無許可に接続されただけでなく、適切なセキュリティ対策が施されていませんでした。そのため、このRaspberry Piは、攻撃者によるJPLネットワークへの侵入を許しただけでなく、攻撃者に対してRaspberry Piを踏み台にした約10か月におよぶJPLネットワーク内部での活動の拡大と継続を与えてしまいました。これにより、火星プロジェクトに関する機密データが盗まれてしまったのです。
このセキュリティインシデントの問題点として、大きく2つ挙げられます。ひとつは、ネットワーク管理者の適切なレビュープロセスの下、Raspberry Piが組織内ネットワークに接続されていなかった (シャドーIT化させてしまった) ことです。もうひとつは、Raspberry Piに適切なセキュリティ対策が施されていなかったことです。前者は、組織内に適切なレビュープロセスを設けて運用することで、組織内ネットワークにおけるシャドーITの根を断つことが期待できます。一方後者は、IoT機器やシステムへの攻撃目的や手法が日々変化・進化している中で、常にRaspberry Piをセキュアな状態で運用することが求められます。そのためにはまず、システム導入の担当者やシステム管理者における、Raspberry Piのセキュリティ運用に対する意識が重要となります。
では、国内のRaspberry Piユーザのセキュリティへの認識はどのようになっているのでしょうか。
Raspberry Piユーザのセキュリティ対策への意識
当社が国内向けに実施したRaspberry Piの利用実態調査にてRaspberry Piに対するセキュリティ対策の必要性について質問したところ、約9割の回答者がRaspberry Pi自体にセキュリティ対策が必要と考えていることが分かりました。また、Raspberry Piを組織に導入するにあたり不安に感じている要素について調査したところ、シングルボードコンピュータでよく懸念事項として挙がる「耐久性やパフォーマンス面」に続いて、約44%の回答者がRaspberry Pi導入における「セキュリティ面」に対して不安を抱いています。
なぜ、Raspberry Piにセキュリティ対策が必要なのか?
それではなぜ、Raspberry Piにもセキュリティ対策が必要と考えているのでしょうか?
前述の調査でRaspberry Piにセキュリティ対策が必要な理由を伺ったところ、多くの回答者が「情報漏えいの阻止」 (約77%) と「乗っ取り・踏み台の阻止」 (約62%) を理由に挙げていました。つまり、NASAで発生したセキュリティインシデントと同様に、Raspberry Piを侵入口とした組織内ネットワークへの脅威の侵入や、組織内で脅威が拡散することによる機密情報の漏えいを防ぐことが重要と認識していることが分かります。
一方で、本設問においてRaspberry Piを「インターネット/クラウドへ直接接続」するからと回答した方は、2020年4月の時点ではわずか32%に留まっています。これは現状Raspberry Piが外部との直接的な接続が必要となる場所での利用が少ないとも推測できます。しかし市場に目を向けると、我が国においても2020年3月から国内大手3キャリアによる5Gの商用サービスが開始されたことにより、IoT機器が5G通信網に直接接続される機会が増えてくることが考えられます。また、総務省の令和2年版 情報通信白書*3によると、2022年における世界の産業向けIoT機器の利用台数が約93億台 (2019年は54億台) に達すると予測されています。つまり、IoT機器の一種であるRaspberry Piも今後はインターネットやクラウドへ直接接続され、その台数も増加の一途をたどると考えるのが自然であり、それにより引き起こされるセキュリティ脅威への対策もまた考慮していく必要があります。
具体的なRaspberry Piのセキュリティ対策とは
Raspberry Piにセキュリティ対策が必要である背景や目的を説明しましたが、では、Raspberry Piに迫る脅威へどのように対応していくのが良いのでしょうか?
当社が実施した調査では、半数以上の回答者 (55%) が必要なセキュリティ対策として「運用 (アカウント/パスワード管理) 対策」を挙げています。次いで、「接続デバイスの認証」 (38%) と「通信の暗号化」 (35%) が続いています。実際に調査での回答も上位に挙がっている通り、ユーザアカウントの適切な運用や接続機器の徹底した管理、通信の暗号化を行うことは、攻撃者によるRaspberry Piへの不正ログインや通信の盗聴を防ぐことができるため重要なセキュリティ対策となります。
一方で、Raspberry Piを産業用途で利用することを考えた場合、Raspberry Piは常にネットワークに接続され、24時間365日連続で稼働し続けることも想定しておく必要があります。前編で触れましたが、Raspberry Piの魅力のひとつとして、オープンソースソフトウェア (OSS) を活用したエコシステムの充実があります。システムの開発においてOSSの活用は手軽で効率的な反面、OSSが潜在的に持つ脆弱性を適切かつ継続して管理していかなければなりません。先にも述べましたが、IoT機器やシステムへの攻撃目的や手法は日々変化しています。Raspberry PiのOSSに対する継続的な脆弱性管理と適切なパッチ適用は、Raspberry Piを安全に利活用していく上で非常に重要なセキュリティ対策のひとつとなります。ところがRaspberry Pi利用実態調査では、「OSSの脆弱性管理」 (19%) と「デバイスのパッチ適用」 (18%) をRaspberry Piに必要なセキュリティ対策として挙げた回答者は2割にも達していないのが実情です。
組織のDX化を推進していく中でRaspberry Piを安全に活用するには、ユーザ管理やデバイス認証、通信の暗号化だけではなく、継続的かつ適切なOSSの脆弱性対策 (脆弱性の管理や修正パッチの適用) もまた重要であるという点に注意する必要があります。
トレンドマイクロが提供するIoT機器向けのセキュリティソリューション
ここまで、Raspberry Piにセキュリティ対策が必要な背景や目的、Raspberry Piをセキュリティ脅威から保護するための具体的なセキュリティ対策について述べてきました。トレンドマイクロは、IoT機器向けセキュリティソリューションであるTrend Micro IoT Security (TMIS) を提供しています。これは、セキュリティ脅威からIoT機器を多層的に保護することでサイバー攻撃の入口・出口・内部対策を実現します (図5)。また、クラウド上のTMISバックエンドサービスと連携することで、IoT機器への負荷を減らしながら最新のサイバー攻撃へ継続的に対応することが可能となります。
今回の記事では脆弱性対策の重要性についてお伝えしましたが、TMISには最新の情報を基にIoT機器に潜む脆弱性をスキャン・検出して脆弱性攻撃からIoT機器を保護する「仮想パッチ」を適用する機能が備わっています。これによって、24時間365日連続稼働でパッチを適切なタイミングで適用することが難しいIoT機器においても、日々進化しつづけるサイバー攻撃から保護することができます。
TMISはRaspberry Pi OS向けにも展開しており、製品ページにRaspberry Pi向けの製品体験版を提供しています*4。どなたでもダウンロードして利用可能なため、Raspberry Piのセキュリティ対策を検討している方は是非この機会に体験版をご活用ください。
最後に
「IoTの普及を担うRaspberry Piのセキュリティ」と題して、前編・後編の2回に渡り、DXの現場やIoTのシステムにおいてRaspberry Piの活躍の場が広がっていること、それに伴うセキュリティリスクとその対策について解説しました。「低価格」「高性能」そして「充実したオープンソースエコシステム」を備えるRaspberry Piを積極的かつ上手に活用していくことが、今後のDXやIoTをさらに発展させていく上での大きな原動力の一つになると感じています。トレンドマイクロはその発展を、長年培ってきたサイバーセキュリティの知見やノウハウを活かすことでセキュリティの観点から支えていきます。皆さまのDX/IoT化成功の一助になれば幸いです。
執筆者:トレンドマイクロ株式会社 IoT事業推進本部 古賀恒昭
*1 IoTを利活用している、またはIoTの取り組みに関与されている企業ユーザを対象にWebアンケートによる調査を実施(2020年4月、有効サンプル数309)
*2 Cybersecurity Management and Oversite at the Jet Propulsion Laboratory, NASA
*3 総務省 令和2年版 情報通信白書
*4 Trend Micro IoT Security 製品ページ