• TOP
  • 特集一覧
  • 安全なスマートホームの実現:居住者とメーカーに向けた対策のヒント
2016/11/21

安全なスマートホームの実現:居住者とメーカーに向けた対策のヒント

居住者によるスマートホームのセキュリティ対策とは?

実際、すべてのIoTデバイスに基本的に備えるべきセキュリティ機能が実装されているわけではないため、IoTデバイスの設定や使用時のセキュリティの責任は事実上ユーザが負うことになります。スマートホームのセキュリティに対する意識を居住者がきちんと持つことで、自身やご家族が一定の安心感を得ることができ、IoTデバイスを自宅に導入し続けることができるでしょう。

セキュリティ確保のためのIoTデバイスの設定

自宅のIoTデバイスについて、どの程度理解ができていますか。万一に備えてIoTデバイスの仕組みや性能について知っておく必要がありますが、現状の理解は十分でしょうか。

例えば、家庭用IoTデバイスに暗号化機能が搭載されている場合は、初期設定で必ず有効にしてください。これにより、デバイス内の個人情報などを不正に取得しようとする企みを阻止できます。以前、AmazonのEchoなどのデバイスがどのようにして音声プロンプトを聞き取るのかについて説明しました。こうした機能が常時有効になっていると落ち着かない場合は、再び必要になるまで一時的に無効にしてもよいかもしれません。

クラウドと連携して情報をやりとりする機能がついたデバイスもあります。こうした機能は、デバイスからデータを収集し活用する上で便利な手段となりますが、クラウド上のセキュリティ対策や情報の取り扱いについて信頼のおけない(セキュリティ対策やプライバシー管理についての情報がきちんと公開されていない)場合、こうした機能をオフにして使うことも検討すべきです。

デバイスの初期設定をすべて確認し、それらの変更方法を把握しておくことで、プライバシーやセキュリティを保護しながら、利便性とのバランスを取った機能のカスタマイズを行えるようになります。

ガジェットがすべて最新であるかどうかも確認してください。また、ファームウェアを最新バージョンに更新するよう通知を受け取った場合、必ずその通知に従い、定期的にファームウェアを更新してください。ファームウェアの自動更新機能を搭載しているデバイスも数多くあります。ファームウェアの更新により、脆弱性を利用したハッキングのリスクを抑えることができます。また、デバイスの構成ファイルをバックアップしておけば、予期しない障害が発生した場合にデバイスの設定を元の状態に戻すことができます。

家庭用ルータのセキュリティ確保

家庭用ルータは、スマートホーム内のネットワークを構成するもので、インターネット接続の出入り口と見なすべきです。すべてのインターネットトラフィックの通過点であるため、しっかりと保護する必要があります。

多くのモデルは初期設定の資格情報が登録された状態で出荷されますが、初期設定のままで利用し続けることにより、設定情報が攻撃者に把握され、家庭用ルータに侵入されてしまう可能性があります。このため、ルータの設定が完了したらすぐに推測されにくいWi-Fi接続パスワードや管理者パスワードに変更することが重要です。パスワード変更の設定方法は、通常ルータのユーザマニュアルに記載されています。マニュアルを紛失した場合は、メーカーのWebサイトから参照できます。

ホームネットワークに接続する際、短時間で解読が可能なため既に利用が推奨されていないWEP(Wired Equivalent Privacy) の利用を止め、 WPA2(Wi-Fi Protected Access II)プロトコルを選択してください。また、ファイアウォールを設定して、特定のポートのトラフィックのみを許可することで、外部からネットワークを探索される可能性を大幅に低下させることができます。その他の対策としてデバイス用のゲストネットワークの設定があげられます。これにより、ホームネットワーク内でのデバイス間の通信を制限し、悪意のあるコマンドやコンテンツが伝搬される可能性を下げられます。

接続デバイスに対する仮想パッチの機能や、不正サイトの検出・ブロック、ペアレンタルコントロールのためのWebフィルタリング機能、さらにはルータの初期設定パスワードや弱いパスワードの検出などのセキュリティ機能を搭載したルータなどの利用も検討すべきでしょう。

パスワード管理の徹底

ルータやIoTデバイスのパスワードを設定する際は、必ず長くて複雑なパスワードを使用してください。可能であれば、大文字、小文字、数字、特殊文字を組み合わせた13文字以上ものを使用するのが理想的です。名前、誕生日、住所といった個人情報や、辞書に載っているような単語はできるだけ含めないようにしてください。総当たり攻撃でこれらの情報の断片を使用してパスワードが推測できてしまうためです。

また、必ずホームIoTデバイスごとに異なるパスワードを使用してください。これにより、攻撃者がパスワードを推測できる場合でも、攻撃者がホームネットワーク内の他のデバイスを攻撃する可能性が低下します。

デバイスのログ履歴の確認

一部のIoTデバイスでは、インターネットへの接続時にいつでもアクティビティログを確認できます。この場合も、デバイスをよく理解しておくことが必要になります。使用するデバイスにこの機能が搭載されているかはマニュアル等で確認できます。ユーザご自身が、もしくはこの分野に詳しいご家族の誰かに頼むなどして、デバイスのログの監視や確認を定期的に行い、疑わしいアクティビティがないかチェックできます。例えば、多くのホームセキュリティカメラは、フィード(投影画面)にアクセスしたIPアドレスの履歴を確認できます。見ず知らずの人間に盗撮されているかなども、ログに目を通して気付くことができます。

スマートフォンの保護

多くのIoTデバイスはスマートフォンなどモバイルデバイスのアプリで制御できるため、スマートフォンも保護する必要があります。スマートフォンの保護については、従来の対策を徹底しましょう。すなわち、OSやアプリ、ファームウェアの更新を行い、スマートフォン、およびIoTデバイスを最新の状態で利用してください。さらに、IoTデバイスのメーカー提供の正規アプリのみをダウンロードし、インストール前には、どのような権限がアプリに許可されているか必ずパーミッションを確認してください。また、セキュリティアプリをインストールすることで、不正アプリや不正サイトの脅威からスマートフォンを保護することが可能です。

安心して使用できるデバイスを開発するメーカーの責任

スマートホームやIoTデバイスの業界では、顧客の関心を引く素晴らしい機能を求めるメーカーが創造性を発揮できます。しかし、セキュリティを疎かにした場合、顧客の安全を脅かし、金銭的損失や法的な問題を招く欠陥製品を市場に出してしまうことにもなりかねません。製品の設計から利用まで、デバイスのライフサイクル全般のセキュリティに明確な理念を持ち続けることで、メーカーは、セキュリティとプライバシーの保護を求めるユーザへの責任を果たすことができます。

設計によるセキュリティ確保の実践

メーカーは、どのようなデバイスもインターネットに接続したら悪用される可能性があることを念頭に置いておく必要があります。製品開発の早い段階でのセキュリティ対策のテストや実装は、デバイスの機能強化と同じくらい重要です。例えば、データの暗号化も1つの選択肢となるでしょう。また、通信プロトコルの制限も有効です。通信プロトコルは主要な攻撃ベクトルとして利用されるためです。疑わしいトラフィックが存在する場合にデバイスからユーザに通知できる機能も不可欠です。家庭用IoTデバイスは、セキュリティの問題が生じた場合にユーザが簡単に解決できる無駄のない直観的なセキュリティインターフェースにするべきでしょう。

侵入テストと定期的なセキュリティ監査の実施

脆弱性テストは、開発者が攻撃のシミュレーションを実行できるため、デバイスのセキュリティが十分に機能しているかを評価する上で有効です。こうしたテストは、セキュリティインフラを評価するうえで欠かせないだけでなく、長期的に見た場合に、デバイスのパフォーマンスやメンテナンスにもメリットをもたらします。通信は、漏えいや、改ざん、サービス妨害(DoS)から保護されているか、ユーザの意思でメーカーからの情報収集を止めることができるか、収集された情報はプライバシーの規制に従って適切に処理されているか等をチェックする上でも有効です。

メーカーは、リスク評価やセキュリティ監査を実施することで、コンプライアンスを維持する義務があります。コンプライアンスの維持は、ビジネスの存続にも影響します。自社が提供するデバイスのリスク評価やセキュリティ監査は、デバイスにセキュリティ機能を提供するSDKを組み込むことでも実現できるでしょう。こうしたソリューションを利用することで、メーカーは、新しいファームウェアやパッチがリリースされる前に、攻撃の企みを阻止し、リスク評価を実施して、IoTプラットフォームのセキュリティを確保できます。

第三者機関との協業の検討

デバイスのシステムセキュリティを評価、分析するセキュリティスペシャリストは、セキュリティの経験が乏しいデバイスメーカーを支援する上で欠かせない存在です。セキュリティスペシャリストの支援を受けることで、メーカーは、設計の矛盾や欠陥を回避できます。第三者機関のリサーチャとバグ報奨金プログラム(バグバウンティ)を通じて報奨金を支払う形で、デバイスの脆弱性を共有し、早期発見と解消に役立てることも検討の余地があります。

スマートホームの普及は進んでいます。スマートホームには、セキュリティのリスクが存在しますが、適切な対応によりリスクを回避することは可能です。安全なスマートホームは、居住者とメーカーの双方が、利用しているテクノロジを理解することで実現されるのです。スマートホームは、日々快適に暮らせるよう設計された家であると同時に、家族が安心して不安なく暮らせる安全な空間として存在するべきです。

MARTIN ROSLER

MARTIN RÖSLER

Senior Director Forward-Looking Threat Research

Trend Micro

6年以上にわたり、トレンドマイクロの最先端脅威研究組織である「Forward-looking Threat Research」を率いる。主に未知の脅威予測について研究を行う彼のチームでは、最新テクノロジやソーシャルの動向だけでなく、アンダーグラウンドの調査やグローバルの法執行機関と協力してのサイバー犯罪調査に取り組み、日本や欧米、中東、アフリカなど各地でサイバー犯罪の撲滅に貢献している。スマートホームテクノロジについての調査も2年半以上継続しており、先日自宅のスマートホーム化を終えたところである。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop