特集

IoTセキュリティ総合対策

○サイバー攻撃の標的となった「水槽」
2017年7月にこんなニュースが報じられました。

『「スマート水槽」がハッカーの侵入口に、北米のカジノで被害』(CNNニュース)
https://www.cnn.co.jp/tech/35104512.html

「スマート水槽」とは、インターネットへ接続機能を有し、自動的に魚に餌を与えたり、快適な環境を保ったりできる水槽のことを指すそうですが、その水槽を踏み台にサイバー攻撃者が不正アクセスを行い、情報窃取したというニュースです。被害を受けたカジノ会社も、水槽から不正アクセスされるとは想定すらしていなかったと思われます。

 

○IoTデバイスの増加
ネットワーク接続機能を有する機器、いわゆるIoTデバイスは現在その数量を急速に拡大しています。

平成29年度版 情報通信白書によると、2016年には約173億個でしたが、2021年には約350億個となることが予想されています。(2016年~2021年のCAGR:15.0%)

また、IoTデバイスの種類も多様となっており、例えば、自動販売機(電子マネー対応)、デジタルサイネージ、監視カメラ、ウェアラブルデバイスなど、周囲を見回すだけで多くのIoTデバイスが存在していることが分かります。

「IoTデバイスの増加」は「サイバー攻撃の標的の増加」を意味しており、今後IoTデバイスを対象にしたセキュリティ事件・事故がますます増えていくであろうと予想されます。

 

○IoT機器に対するサイバー攻撃の狙い
ところでサイバー攻撃者は、何の目的をもってIoT機器を対象に攻撃を仕掛けているのでしょうか?それは主に次の2つの目的があるとされています。

(1)不正アクセスの踏み台として、情報を窃取する
(2)IoTデバイスをボット化して、DDoS攻撃の役割を担わせる

(1)は最初に記載した「水槽」を踏み台にした攻撃を指します。
一方、(2)のDDoS攻撃とは大量のPC/デバイスから、攻撃者の標的とするサーバ/サービスに対して、一斉に大量の通信を行わせて、サーバ/サービスをダウンさせる攻撃のことを指します。そのDDoS攻撃に急速にその数を増やしているIoTデバイスが悪用され、2016年には1テラbpsもの超大規模なDDoS攻撃が観測されたと言われており、現在最も対策が難しい攻撃の1つとまで言われています。

 

○総務省「IoTセキュリティ総合対策」
そのような現状を受け、2017年10月3日、総務省サイバーセキュリティタスクフォースにて、「IoTセキュリティ総合対策」が公表されました。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html

本資料では、国や民間企業が今後取り組んでいくべきセキュリティの課題と施策が示されています。具体的には、以下の5項目に分け、施策について言及されています。

(1) 脆弱性対策に係る体制の整備
(2) 研究開発の推進
(3) 民間企業等におけるセキュリティ対策の促進
(4) 人材育成の強化
(5) 国際連携の推進

 

参考までに、以下に「(3)民間企業等におけるセキュリティ対策の促進」に関する施策を記載します。

No 施策
1 民間企業のセキュリティ投資等の促進
2 セキュリティ対策に係る情報開示の促進
3 事業者間での情報共有を促進するための仕組みの構築
4 情報共有時の匿名化処理に関する検討
5 公衆無線 LAN のサイバーセキュリティ確保に関する検討

総務省では、本総合対策を踏まえ、関係省庁と連携しつつ必要な施策を推進していくとしており、引き続き動向を追っていく必要があります