• TOP
  • 特集一覧
  • 急がれるIoTのセキュリティ対策 ― 日本政府も取り組み強化!つながる社会、つながる工場の安全な発展
2019/04/25

急がれるIoTのセキュリティ対策 ― 日本政府も取り組み強化!つながる社会、つながる工場の安全な発展

メイン画像

IoTの脅威が拡大する中、IoTセキュリティ強化に向けて日本政府の働きかけは更に加速しています。トレンドマイクロでもIoTのサイバーリスク低減に向けた情報やソリューションを提供してきました。そのような中でIoTのデバイスメーカーやサービスプロバイダといった事業者はどのような脅威に注意を払い、いかなる対策を今後は講じるべきなのか。その答えを、IoT/M2Mソリューションの総合イベント「IoT/M2M展」(主催:リード エグジビション ジャパン株式会社/会場:東京ビッグサイト/会期:2019年4月10日~12日)におけるトレンドマイクロの展示を交えながら政府の動向を含めて確認してみましょう。

日本政府がIoTデバイスの技術基準を改正へ

一般家庭や社会インフラ、製造企業などへのIoTの普及が進むなか、IoTデバイスが乗っ取られ、大規模なDDoS攻撃(※1)に悪用されたり、IoTデバイスの不適切なパスワード設定がサイバー犯罪者に狙われたりするケースが増え始めています。実際、トレンドマイクロが、フランス、ドイツ、日本、米国、英国のIT企業に対して行った調査(※2)を見ても、過去1年間で各社のIoTデバイスがサイバー攻撃を受けた回数は平均3回に及び、「過去1年間で攻撃増加の認識あり」と答えた回答者は全体(n=1,150名)の54%に上っています。

このようなIoTのサイバーリスクについては、トレンドマイクロや大学・研究機関の有識者が早くから警鐘を鳴らし、IoTデバイス/サービスを提供する企業に対策強化を訴えかけてきました。その中で、日本政府もIoTデバイスのセキュリティ強化に本格的に乗り出し、総務省は2019年2月20日から「NOTICE」と呼ばれる脆弱性調査を始動。これは、インターネット上にあるIoTデバイスを一斉調査し、サイバー攻撃に悪用される恐れのある機器を特定して、その情報をインターネットプロバイダに通知。インターネットプロバイダは、当該機器の利用者を特定し注意喚起するという試みです。また同省は、2019年3月1日に公布された「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令」(※3)を公布し、IoTデバイス(※4)のセキュリティ強化に向けた技術基準にセキュリティ対策を追加する改正内容を明らかにしました 。それによると、技術基準改正後は以下のような機能の実装を『最低限のセキュリティ対策』として、IoTのデバイスメーカーやサービスプロバイダといった事業者に求めることになります。

①アクセス制御機能(IoTデバイスにアクセスしてくる利用者を識別し、制御する機能)
②アクセス制御に使用するID/パスワードの適切な設定を促すなどの機能
③ファームウェアの更新機能
または、①~③と同等以上の機能

この改正基準は2020年4月1日に施行され、IoTの事業者は上記の対策について待ったなしでの対応が求められています。今回のIoT/M2M展で、『対応急務!IoTサービス業界に求められるサイバーセキュリティ』と題したセミナーをトレンドマイクロブース内で展開したIoT事業推進本部シニアマネージャーの原 聖樹は、IoTデバイスが内包する問題点について改めて紹介しました。
「PCやスマートフォンとは異なり、組み込み型のIoT デバイスの多くはサイバー攻撃を受けることを前提に作られておらず、機器を使うユーザ側も組み込みデバイスは安全という思い込みが強くありました。ゆえに、組み込み型のIoTデバイスでは開放する必要のないポートが開いた状態でそのまま使われ、インターネット上に晒されている、またはファームウェアが更新されず、既知の脆弱性を潜在させている、ID/パスワードが製品出荷時のデフォルト設定のままで簡単に見破られる、といった状態になっているわけです」
もちろん、サイバー攻撃者はかなり前から、そうしたIoTデバイスの脆弱性をめがけて攻撃を仕掛けています。「ですからIoTの業界全体でセキュリティ強化に一刻も早く取り組むことが必須で、今回の日本政府の取り組みにより、その動きが一気に加速すると期待しています」(原)。

IoTデバイスのセキュリティ対策に対する日本政府の動向について解説

IoTデバイスのセキュリティ対策に対する日本政府の動向について解説する原
(トレンドマイクロIoT事業推進本部シニアマネージャー)

つながる世界を守るIoTのエコシステム

サイバー攻撃への守りに脆弱性が散見されるのは、産業制御システムについても同様です。例えば、トレンドマイクロの調査機関である Trend Micro Research は、ミラノ工科大学(POLIMI)と共同で産業用ロボットに対する調査を実施し、ロボットのコントローラに外部ネットワークから侵入し、コントローラのパラメータの改ざん、ロボットの実行プログラム/コマンドの改ざんが可能なことを実証しました。この攻撃によって、ロボットに予期しない動作や不正確な動作を実行させ、ロボットの損傷や欠陥製品の製造といった影響が想定されます(図1)。

産業用ロボットに対するサイバー攻撃の例

図1:産業用ロボットに対するサイバー攻撃の例

同様に、ラジオ電波(Radio Frequency:RF)を使う産業用リモートコントローラも、通信プロトコルにセキュリティが実装されていない場合、さまざまな攻撃を受ける可能性があります。この攻撃によって工場内重機の緊急停止コマンドが悪用されたり、プログラムが不正に書き換えられたりすれば、遠隔操作や誤動作による物損や作業員の負傷といった恐れすら想定されます(図2)。

産業用リモートコントローラに対する攻撃の例

図2:産業用リモートコントローラに対する攻撃の例

このように、IoTデバイスや産業用制御システムには脆弱性がさまざまに潜在します。そのため、IoTによって快適で便利な暮らしを実現するうえでも、情報活用による産業のスマート化・自動化を推進するうえでも、IoTのデバイスメーカーやサービスプロバイダの事業者 が、製品/サービスの設計・製造・運用管理のあらゆる側面においてセキュリティ対策を実装することが不可避となるでしょう。

とはいえ、スマートホーム、スマートカー、スマートファクトリーなど各領域に特化したIoTの事業者では、必ずしもサイバーセキュリティ/脅威に精通した人材がいるとは限りません。そこでトレンドマイクロでは、クラウド、ネットワーク、デバイスのそれぞれで守るソリューションを提供しており、その中で各業界用のIoTデバイスメーカーやサービスプロバイダ向けには組み込み型のセキュリティソリューション「Trend Micro IoT Security(TMIS)」(図3)を提供し、各社の製品/サービスへのセキュリティ機能の実装を支援しています。

Trend Micro IoT Securityのスキーム

図3:Trend Micro IoT Securityのスキーム

今回のIoT/M2M展でも、協業企業のソリューション展示によりTMISを採用したセキュアなIoTサービスの有用性を具体的に紹介したほか、「つながるデバイスの保護」としてTMISの実装検証が完了した各社のデバイスを展示し、ソリューション展開の広がりを披露しました。これらのデバイスは、日々の生活空間や工場の現場などで接する可能性のある組み込みデバイスです。加えて、生産設備のIoT化によって生じるサイバーリスクから工場を守るためのソリューションの展示/デモも展開し、設備の稼働停止につながりうるサイバー攻撃の検知と対処のソリューションを、実装例を交えて紹介しました。

協業企業のソリューション展示

協業企業のソリューション展示

トレンドマイクロの専門知を軸に広がる安全なIoT

つながる世界を守るためにトレンドマイクロが貢献できるものは何でしょうか? ── それは、最新脅威の特定や数年後に起こりうるセキュリティリスクのリサーチを通じて培ったサイバーセキュリティの専門家としての知見提供、その専門知をIoTの事業者と連携して業界特化のIoT製品/サービスへと押し広げ、さらに政府と協力して「安全なIoTエコシステム」を築いていくこと(図4)。トレンドマイクロはこれらの活動により安全な世界の実現に貢献していきます。

安全なIoTエコシステムを実現する主な要素

図4:安全なIoTエコシステムを実現する主な要素

TMISが実装可能なIoTデバイス

TMISは、多種多様なIoTデバイスをサイバー攻撃から保護する役割を担っていく。
写真の各デバイスはTMISが実装可能なIoTデバイス。

つながる工場のセキュリティ対策"

今回のIoT/M2M展では、“つながる工場”のセキュリティ対策として稼働停止につながるサイバー攻撃から生産設備をどう保護するか、気づきにくい工場への攻撃をどう見える化するか、その実装例/デモを展開し、来場者の関心を集めた。

※1 DDoS攻撃:DDoSは、Distributed Denial of Service の略称で、分散型サービス拒否攻撃のこと。侵入した複数のデバイス機器から標的のサーバに対して攻撃パケットを送信することでサーバの停止などサービス妨害を引き起こす。
※2 調査の対象:IT企業に所属する、情報システム/情報セキュリティ意思決定者
※3 資料:総務省『端末設備等規則及び電気通信主任技術者規則の一部を改正する省令』
※4 今回の改正技術基準の適用対象となる機器は、IPを使用し、電気通信回線設備を介して接続することで、電気通信の送受信にかかわる機能を操作することが可能な端末設備全般となる。パソコンやスマートフォンなど、利用者が随時、ソフトウェアの更新が可能なデバイスについては基準に追加されるセキュリティ対策の対象外とされる。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop