IoTセキュリティとは
従来の情報セキュリティはパソコンやサーバー、USB、WEBサービスなど限られたモノに焦点を当てていましたが、現代ではIoTセキュリティが求められています。ここでは、IoTセキュリティについて詳しくご紹介します。
IoTセキュリティとは、家電製品、自動車、ロボット、機器など、インターネットに接続されるあらゆるモノにおいて、サイバーリスクやデジタルリスクに対するセキュリティ対策を指します。
IoTセキュリティの必要性
急速なITとIoTの進展に伴い、IoT関連のサイバー攻撃やハッキングによる事件や被害が増加しています。これらの事件や被害により、企業は巨額の損害賠償を追及されるケースや最悪の場合、倒産に至るケースもあります。そのため、従来の情報セキュリティだけでなく、IoT固有の性質を理解し、予測されるリスクに基づいたセキュリティ対策を実施する必要があります。
IoT特有のセキュリティに関する性質は、下記の通りです。
①脅威の影響範囲・影響度合いが大きいこと
②IoT機器のライフサイクルが長いこと
③IoT機器に対する監視が行き届きにくいこと
④IoT機器側とネットワーク側の環境や特性の相互理解が不十分であること
⑤IoT機器の機能・性能が限られていること
⑥開発者が想定していなかった接続が行われる可能性があること
日本国内のIoTセキュリティの市場規模
IT専門調査会社であるIDCJapanが2020年10月に発表した内容によると、2019年には、日本国内のIoTセキュリティの市場規模は、837億円あり、2024年には約1,000億円に達すると予測されています。
2019年 837億円
2020年 792億円
2021年 822億円
2022年 887億円
2023年 960億円
2024年 997億円
国内のIoTセキュリティ製品市場は、前年比成長率の予測によれば、2019年の14.7%から2020年にはマイナス5.4%に低下する見込みです。また、2019年から2024年までの年間平均成長率(CAGR:Compound Annual Growth Rate)は3.6%であり、市場規模(売上額ベース)は2019年の836億5,900万円から2024年には997億4,000万円に達すると予測されています。
2020年は、新型コロナウイルス感染症(COVID-19)による景気の減速があり、企業のDXにおける一要素であるIoTシステムの市場は影響を受けました。具体的には、IoTデバイスの部品レベルでの影響や新規ビジネスへの影響が予想され、2020年の前半に大幅に減少すると予測されています。同様に、IDCによれば、IoTセキュリティ製品市場も同様の影響を受けるでしょう。
企業の生産活動と個人消費は低迷していますが、延期された東京2020オリンピック・パラリンピックの開催と政府の景気刺激策によって、2021年には経済成長率がプラスに転じ、2022年以降には経済活動がCOVID-19感染前の水準に回復するとIDCは予測しています。また、2021年以降、国内の経済状況は徐々に回復すると予測されており、国内IoTセキュリティ製品市場の前年比成長率は2020年のマイナス5.4%から2021年には3.9%、2022年には7.8%と回復する見込みです。
国内のIT市場では、ランサムウェアによる被害や個人情報の漏洩、IoTデバイスを利用したDDoS(Distributed Denial of Service)攻撃など、さまざまな事件が続発しています。これにより、セキュリティ対策とインシデント発生時の対応が企業や組織の経営や活動に影響を及ぼす可能性があります。
(参考)国内IoTセキュリティ製品市場予測アップデートを発表|IDC Japan
総務省・経済産業省が定めるIoTセキュリティガイドラインとは
IoTの活用は民間企業のみならず、日本の総務省や経済産業省もIoT活用を推し進めています。ここでは、総務省・経済産業省が定める『IoTセキュリティガイドラインVer1.0』の概要を紹介します。
IoTセキュリティガイドラインを定めた背景
IoTでは、これまで接続されていなかった⾃動⾞やカメラなどの機器が、WiFiや携帯電話網などを介してインターネットに接続されることにより、新たな脅威が発⽣しました。そのような新たな脅威に対するセキュリティ対策と、そのセキュリティ対策の方針が必要となったため、この『IoTセキュリティガイドライン Ver1.0』を公表しました。
IoTセキュリティガイドラインの目的
IoTセキュリティガイドラインの⽬的は、IoT特有の性質とセキュリティ対策の必要性を踏まえて、IoT機器やシステム、サービスについて、その関係者がセキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利⽤者が安⼼してIoT機器やシステム、サービスを利⽤できる環境を⽣み出すことにつなげるものです。
なお、IoTセキュリティガイドラインの⽬的は、サイバー攻撃などによる被害発⽣時における関係者間の法的責任の所在を⼀律に明らかにすることではなく、むしろ、関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供することです。
IoTセキュリティガイドラインの⽬的は、その対象者に対し、⼀律に具体的なセキュリティ対策の実施を求めるものではなく、守るべきものやリスクの⼤きさ等を踏まえ、役割・⽴場に応じて適切なセキュリティ対策の検討が⾏われることを期待しています。
IoTセキュリティガイドラインの方針
はじめに、IoTの性質を考慮した基本方針を定める上で、何よりも大切なのが、経営者がIoTセキュリティにコミットすることと、内部不正やミスに備えることの2点です。
①経営者がIoTセキュリティにコミットすること
・IoTは様々な機器やシステムが接続されるため、ひとたび攻撃を受けるとIoT機器単体に留まらず、関連するIoTシステム・サービス全体へ影響が及ぶ可能性があります。また、長期間使われる機器も存在する一方で、監視が行き届きにくいことと、IoT機器の機能・性能が限られることもあります。
・IoTの利活用は企業の収益性向上に不可欠なものとなっていく一方、こうしたビジネスを脅かすサイバー攻撃は避けられないリスクとなっています。サイバー攻撃によって機微な情報の流出やインフラの供給停止など社会に対して損害を与えてしまった場合、社会からの経営者のリスク対応の是非、さらには経営責任が問われることもあります。
・経営者はIoTの性質を考慮し、「サイバーセキュリティ経営ガイドライン」を踏まえ、IoTセキュリティに係る基本方針を策定し、社内に周知するとともに、継続的に実現状況を把握し、見直していくことと、そのために必要な体制・人材整備を行うことが重要です。
②内部不正やミスに備えること
・IoTの安全を脅かす内部不正の潜在可能性を認識し、対策を検討する。
・関係者のミスを防ぐとともに、ミスがあっても安全を守る対策を検討する。
IoTセキュリティガイドラインの分析
方針の次に、分析に関するポイントで意識すべきことの1つが、リスクを認識するということです。その中でも重要になるポイントが3つあります。
①守るべきものを特定すること
IoT機器が有する本来機能、セーフティを実現する機能、つなげるための機能(IoT機能)など、IoTの安全安心の観点で、守るべき機能を特定する。また、つながることで漏えいしないよう、機能の動作に関わる情報や、機器やシステムで生成される情報など、守るべき情報を特定する。
②つながることによるリスクを想定すること
・クローズドなネットワーク向けでも、つながる機能がある機器やシステムはリスクを認識する。
・他の機器とつながることにより、セキュリティ上の脅威や機器の故障の影響が波及するリスクを想定しておくことが重要です。特に、セキュリティ対策のレベルが低い機器やシステムがつながると、そこが攻撃の入り口になり、IoT全体に影響を与える可能性があることを想定する必要があります。
・盗まれたり紛失した機器の不正操作などの物理的な攻撃に対するリスクも想定する必要があります。また、廃棄した機器からの情報漏えいの可能性も存在します。
③過去の事例に学ぶこと
・パソコン等のICTの過去事例やIoTの先行事例から攻撃事例や対策事例を学ぶことが大切です。
IoTセキュリティガイドラインの設計
次に、重要になるのが設計です。特に設計で気を付けるポイントは、守るべきものを守る設計をすることです。より重要になる3つのポイントを紹介します。
①つながる相手に迷惑をかけない設計をすること
・IoT機器やシステムに異常な状態が検知された場合、影響が他の機器等に波及しないよう、当該IoT機器・システムをネットワークから切り離す等の対策の検討が必要です。また、切り離しや機能の停止が発生した場合は、他への影響を抑えるため、早期に復旧するための設計が必要です。
②不特定の相手とつなげられても安全が確保できる設計をすること
・IoTの普及に伴い、機器メーカーが意図していない不特定の機器が、インテグレータやユーザによってつなげられて利用されるケースが増えています。この状況においては、信頼性の低い機器が接続された場合に、秘密情報が簡単に漏えいしたり、あるいは想定していない動作が引き起こされてしまう可能性があります。また、同じメーカ同士の製品でも、時間が経つにつれて後から出荷された型式やバージョンが増え、接続動作確認が行われていないケースも増加します。つながる相手やつながる状況に応じてつなぎ方を判断する設計を検討する必要があります。
③安全安心を実現する設計の評価・検証を行うこと
・IoT機器やシステムについては、単独では問題がないのに、つながることにより想定されなかったハザードや脅威が発生する可能性もあります。安全安心の要件や設計が満たされているかの「検証」だけでなく、安全安心の設計がIoTにおいて妥当であるかの「評価」を実施することが必要です。
IoTセキュリティガイドラインの構築・接続
IoTの構築・接続の段階で必要になるのが、ネットワーク上での対策を考えることです。この構築・接続の段階で重要なポイントを3つ紹介します。
①機能及び用途に応じて適切にネットワーク接続すること
・提供するIoTシステム・サービスの機能及び用途、IoT機器の機能・性能のレベル等を踏まえ、ネットワーク構成やセキュリティ機能の検討を行い、IoTシステム・サービスを構築する必要があります。
・また、機能・性能の制限によりIoT機器単体で必要なセキュリティ対策を実現できない場合は、セキュアなゲートウェイを経由してネットワーク接続するなどのセキュリティ対策を検討する必要があります。
②初期設定に留意すること
・外部から容易に攻撃可能であるような脆弱なシステム・サービスとならないよう、IoTシステム・サービスの構築時・利用開始時にセキュリティに留意した初期設定を行うことが大切です。また、利用者へ初期設定に関する注意喚起を行うことも必要です。
③認証機能を導入すること
・不正なユーザ等によるなりすましや盗聴等が行われないよう、認証や暗号化等の仕組みを導入することが必要です。
IoTセキュリティガイドラインの運用・保守
最後は、IoTの運用・保守についてです。IoTの運用・保守では、下記の4つのポイントが重要です。
①出荷・リリース後も安全安心な状態を維持すること
・IoT機器には製品出荷後に脆弱性が発見されることがあるため、脆弱性の対策を行ったソフトウェアをIoT機器へ配布・アップデートする手段が必要です。
・IoTシステム・サービスの提供者は、IoTシステム・サービスの分野ごとの特徴を踏まえて、IoT機器のセキュリティ上重要なアップデートを必要なタイミングで適切に実施する方法を検討し、適用する必要があります。
②出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝えること
・IoT機器の出荷後やIoTシステム・サービスのリリース後においても、脆弱性情報を収集・分析し、ユーザーや他のシステム・サービスの供給者・運用者に情報発信し、また、セキュリティに関する重要事項を利用者へあらかじめ説明することが大切です。
③IoTシステム・サービスにおける関係者の役割を認識すること
・IoTシステム・サービスにおいては、多くの関係者が存在し、かつ、複雑な関係となっているため、インシデント発生時の対応が後手に回ることのないよう、事前に関係者の役割を整理して理解しておくことが重要です。
④脆弱な機器を把握し、適切に注意喚起を行うこと
・IoTシステム・サービスの提供者が当該サービス等のために設置したIoT機器のうち、脆弱性を持つものがネットワーク上に存在していないか把握する手段を整備もしくは利用する必要があります。 また、脆弱性が発見された場合には、該当するIoT機器の管理者に対して、注意喚起を行うことが大切です。
(参考)『IoTセキュリティガイドラインVer1.0』|IoT推進コンソーシアム(総務省・経済産業省)
(参考)『IoTセキュリティガイドラインVer1.0概要』|平成28年7⽉IoT推進コンソーシアム(総務省・経済産業省)
IoTセキュリティ対策チェックリスト
一般社団法人JPCERTコーディネーションセンターが、2019年にIoT機器の開発者と利用者用に公開した『IoTセキュリティチェックリスト』を紹介します。
このチェックリストはIoT機器を安全に開発・運用するために、大きく分けると8つのカテゴリーと39のチェック項目があります。
(参考)IoTセキュリティチェックリスト|一般社団法人JPCERTコーディネーションセンター
対策①ユーザ管理
ユーザ管理には、10項目のチェックポイントがあります。
(1)アカウントロックアウトメカニズム
(2)⼀定期間利⽤されていないアカウントの強制失効オプション
(3)パスワード強度の担保機能
(4)パスワードセキュリティオプション(⼆要素認証など)
(5)サービスやプロセスを起動するアカウントの権限管理
(6)共有ユーザアカウント
(7)管理ユーザへの適切な権限付与
(8)⼀般ユーザへの権限付与機能
(9)認可制御機能
(10)サービス連携
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策②ソフトウェア管理
ソフトウェア管理には、6項目のチェックポイントがあります。
(1)Webアプリケーションファイアウォール
(2)製品に含まれるファイアウォール機能
(3)ソフトウェアバージョン
(4)ウィルス対策機能
(5)不正なデータ処理
(6)データ転送量
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策③セキュリティ管理
セキュリティ管理には、9項目のチェックポイントがあります。
(1)ログ管理機能
(2)セッション管理(Cookie設定)
(3)クライアントデータの操作のセキュリティ対策
(4)セッション管理(ログイン時や重要な確定処理の時のセッションIDの払い出し)
(5)セッション管理(URLリライティング)
(6)システムデータの操作のセキュリティ対策
(7)クラウドインタフェースやネットワークの脆弱性(APIインタフェースやクラウドベースのWebインタフェースなど)
(8)XSS、SQLi、およびCSRFの脆弱性
(9)WebアプリケーションのSSL証明書
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策④アクセス制御
アクセス制御には、4項目のチェックポイントがあります。
(1)管理されていない物理⼿段によるアクセス
(2)リモートアクセス⽤ポートのデフォルトポート
(3)無線通信におけるセキュリティ(暗号化⽅式)
(4)無線通信におけるセキュリティ(WPS)
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策⑤不正な接続
不正な接続には、2項目のチェックポイントがあります。
(1)ネットワークポートの制限
(2)UPnP
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策⑥暗号化
暗号化には、4項目のチェックポイントがあります。
(1)データの暗号化機能
(2)通信の暗号化機能
(3)暗号化⽅式
(4)証明書更新機能
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策⑦システム設定
システム設定には、2項目のチェックポイントがあります。
(1)センサーの動作状況確認機能
(2)ログのセキュリティ管理
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
対策⑧通知
システム設定には、2項目のチェックポイントがあります。
(1)セキュリティイベントのアラートと通知機能(状態異常等)
(2)セキュリティイベントのアラートと通知機能(認証失敗、証明書の期限切れ等)
※チェックリストをダウンロードする際は、下記記載の一般社団法人JPCERTコーディネーションセンターの公式HPよりダウンロードしてください。
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
IoTセキュリティ対策支援企業9選
これまで、IoTセキュリティについて詳しく紹介してきましたが、最後に、IoTセキュリティ対策支援を行なっている企業9社を紹介します。
HITACHI
製品・サービス
・【コンサルティング】セキュリティ設計支援コンサルティング
・【脆弱性診断】ファジングテスト
・【デバイス認証、改ざん検知・暗号化】IoTセキュリティライブラリ
企業情報
株式会社日立ソリューションズ
https://www.hitachi-solutions.co.jp/security/sp/solution/task/seigyo-sec.html
NEC
製品・サービス
・IoT Device Security Manager
・軽量プログラム改ざん検知
・軽量暗号 開発キット
・SecureWare/Credential Lifecycle Manager
・IoTシステム向け特権ID管理ソリューション
・サイバーセキュリティコンサルティングサービス
・IoTセキュリティ設計支援サービス
・IoTセキュリティ診断サービス
企業情報
日本電気株式会社
https://jpn.nec.com/iot/platform/security/index.html
イエラエセキュリティ
製品・サービス
・IoTデバイスペネトレーションテスト
企業情報
株式会社イエラエセキュリティ
https://ierae.co.jp/service/
PwC
製品・サービス
・IoTのセキュリティ特性や主要類型の整理
・IoTシステムを取り巻く脅威・セキュリティリスクシナリオの可視化
・IoTセキュリティガイドライン(サイバーフィジカルセキュリティ対策フレームワークなど)とのギャップ評価およびIoTセキュリティ要件の整備
・IoTセキュリティアーキテクチャの設計
・IoTシステムの脆弱性診断
・IoT製品・組み込み機器へのハードウェアハッキングテスト
・製品サイバーセキュリティ
企業情報
PwC Japanグループ
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/iot-security.html
ネットワンシステムズ
製品・サービス
・IoTセキュリティ
企業情報
ネットワンシステムズ株式会社
https://www.netone.co.jp/service/technology/iot_security/
TOPPAN
製品・サービス
・loTデバイスのセキュリティ対策「セキュアアクティベートサービス™」
企業情報
凸版印刷株式会社
https://solution.toppan.co.jp/secure/service/secureactivate.html
NRI
製品・サービス
・IoTセキュリティコンサルティングサービス
企業情報
NRIセキュアテクノロジーズ株式会社
https://www.nri-secure.co.jp/service/consulting/iot_security
KPMG
製品・サービス
・IoTシステムサイバーセキュリティ
・IoTセキュリティガイドライン策定
・IoTデバイス診断
・PSIRT(Product Security Incident Response Team)
企業情報
KPMGジャパン
https://home.kpmg/jp/ja/home/services/advisory/risk-consulting/cyber-security/system-iot-cyber.html
アイ・アイ・エム
製品・サービス
・ARIMS
企業情報
株式会社アイ・アイ・エム
https://product.iim.co.jp/armis
