見出し画像

予想外のセキュリティリスク、意外なデバイスが原因に

ジョーシス式ITガバナンス

記事のポイント(SCQR)

Situation(状況) ビジネスの現場にはIoT機器が多く導入され、今後も増大していく見込み。
Complexity(複雑性)インターネット接続可能機器だと気が付かない、気が付いても重大性を認識しにくい。
Question(問い)国内外の大手企業もIoT機器を通じた被害にあっているなか、どのような対処すべきか。
Resolution(解決法)IoT機器のネットワーク接続機能を把握し、管理負担が小さくヒューマンエラーの少ないツールによる一元的な管理台帳を行う。

このような方におすすめ
CIO/CISO、情報システム部門、DX部門、管理部門、調達部門、生産管理責任者、店舗管理責任者など

はじめに

 今やインターネットに接続可能な機器、いわゆるIoT機器があふれている環境にあります。ビジネスの現場でもオフィスのエアコンやトイレ、研究所で利用する検査機器、店舗のPOSレジやサイネージなどあらゆるところにIoT機器が使われています。

 利便性が高まる一方で、社内外のネットワークに接続できる仕様のため、情報セキュリティリスクを抱えています。そもそも、ネットワークに接続できることが意思にされにくいという課題もあります。

 今後、IoT機器は増えていくことが見込まれますし、これまでネットワーク接続がされていなかったような機器まで接続機能が付加されていくと予想されます。

(Photo:Unsplash/Dan LeFebvre)

 IoT機器について、サイバー攻撃や情報漏洩のリスクを低減するために、適切なITガバナンスを敷いて管理していく必要があります。第8回の「ジョーシス式ITガバナンス」では、IoT機器の管理のあり方について考えます。


1. IoT機器という、見えにくいセキュリティリスク

 パソコンやスマートフォン、タブレットといったデバイスは、業務の中心にあり利用頻度が高く、セキュリティ対策も敷かれて利用者の意識も高いと言えます。

 しかし、IoT機器については単機能であったり、そもそも購入者も利用者もインターネットに接続できると認識していないことも多いでしょう。 また、日常生活でも利用するような機器であるため、気軽につかってしまったり、ビジネス向けにネットワーク接続の機能がある事を知らなかったりするということもあるでしょう。

 この問題は、具体的な事例から考えて生きましょう。どちらの事例も、「まさか」というルートでの被害であり、当該企業のビジネスに打撃を与えました。

2. 事例から学ぶ意外なインシデントのルート

 IoT機器が実際に被害に遭った事例を2つ上げておきましょう。どちらも、一時的な生産停止や多数のリコールに及んでしまった事例です。

事例1:日系大手製造業A社

 2017年、A社の欧州グループ会社にあった、ネットワーク接続可能な電子顕微鏡がウイルス感染となった。
 この機器にランサムウエアが侵入、つながる設定になっていた社内ネットワークにランサムウエアが広がってしまい、業務システム用サーバーやパソコンなど情報システム部門が管理する機器に被害がおよんだ。被害は止まらずに工場内にもおよんでしまい、生産システムと倉庫システムにも影響が生じた。
 生産抑制システム(ICS)はメインの社内ネットワークからは独立していたため、感染は免れたものお、一部はERP(統合基幹業務システム)とデータを連携。ERPからのデータ転送が停止してしまった結果、生産システムも停止した。
 公式の報告書ではエンドポイントのセキュリティ状況が把握されていなかったとされ、報道では電子顕微鏡がインターネットに接続できること自体が認識されていなかったと報じられた。

(Photo:Unsplash/ThisisEngineering)

事例2:米国有名自動車メーカーB社(2015年、2016年)


 2015年、あるリサーチャーは、B社が製造する看板製品の自動車に対するハッキングが成功したとカンファレンスで発表した。ハッキングによって、遠隔でハンドルを回す、ブレーキをかける、加速するといった操作が可能であることを明かした。これを受けてB社は、140万台のリコールを実施。
 2015年の事例は、セキュリティ機能に反応し低速の操作が限界だった。翌2016年には、リサーチャーが同じ車種に対して、セキュリティを迂回してハッキングできることを同じリサーチャーが発表。偽の数字を送信することで誤認させた。これにより、セキュリティ機能の速度制限の設定を変更し、急加速が可能であることを示した。
 CANという車載LAN上でやりとりされるメッセージを解読し、偽のメッセージを送れるようにしたと発表されている。

(Photo: Unsplash/ALEKSEY KUPRIKOV)

3. なぜ、IoT機器のセキュリティはおろそかにされるのか

 こうした攻撃が起こってしまった背景には、IoT機器の独特の脆弱性と管理体制にあります。いくつか、主な課題を挙げておきます。

3.1 意識しにくいという問題

 そもそも、IoT機器に対するセキュリティ意識が低いと考えられます。IoT機器は、主な機能が顕微鏡や自動車といった、インターネット接続がその主たる使い方ではないものが多いです。また、自分からインターネットにつなげるという行為を意識的にしないため、ネットワークに接続されているという意識自体が持ちにくいという問題があります。そのため、利用者側がセキュリティインシデント対策において、これらの機器を意識することがないという事情があります。

3.2 耐用年数の長さによりメンテナンスされにくい

 耐用年数が比較的長いことです。たとえば、法人向けパソコンであれば通常は3〜4年程度、スマートフォンであれば2年程度で入れ替えることが多いとされています。これらのITデバイスは短い年月で陳腐化してしまうことや、基本ソフトウエアの更新があり、機能的にもセキュリティ対策的にも、早めのサイクルとなります。
 一方で、IoT機器は数年から10年は使い続けることも珍しくありません。基本的な機能自体に大きな変化がなく、問題なく使い続けられるためです。
 また、ファームウエアのアップデートについても、パソコンやスマートフォンに比べると目立った機能差がみられなかったり、自動でのアップデートがされなかったりするため、注意が向けられにくいと言えます。

3.3 ハードウエア上の限界

 ウイルス対策ソフトなどをインストールする容量がなかったり、IoT機器に搭載されているプロセッサの処理能力が限られているため、単体でのセキュリティ対策は難しい場合がほとんどです。また、ネットワークの仕組みもIoT機器向けとセキュリティ対策向けで異なるため、統一的な対策も難しい場合があります。

3.4 さまざまな情報セキュリティリテラシーの人が利用する

 IoT機器は利用者のセキュリティ教育が行き届かないケースも想定されます。たとえば、店頭を担当する従業員でパソコンやスマートフォンはほとんど使わないものの、PoSレジ端末など特定機能の端末のみ利用するといった場面が想定されます。これは利用する従業員の自覚の問題と整理するよりも、管理者側で適切な設定や教育をすることが重要でしょう。

(Photo:Unsplash/Selcuk S)

4. IoT機器を効果的に管理するための手段

 セキュリティ対策は様々な段階がありますが、まずは基本を抑えていくことが必要です。つまり、自社でこうした機器について、何をいくつ持っており、誰が利用しているか、という基本的な事実を把握することが大切となります。

 どの機器がネットワークにつながるかという把握ができていなければ、インシデントが発生したときの原因を特定することが困難となります。また、内部不正や悪意を持った従業員や第三者によるアクセスにも気が付くことがありません。まずは、把握が最初のステップとなります。

  • 自社で利用している機器がインターネットに接続できるかなど、マニュアルを読み、メーカーやベンダーを通じて確認しておく

  • インターネットに接続できる場合、社内ネットワークや外部のクラウドサービスなど接続可能先を確認しておく

  • 真に必要なものに限り接続設定を行う。接続設定の内容も吟味して必要最小限とする。より広い接続を行う場合は必要なときのみ行う

  • 管理台帳を整備する。利用者と紐付け、定期的に棚卸しを行う。また、入退社や人事異動の際にも確認を行う。アップデートがしにくい紙による管理は行わない。スプレッドシートによる管理も入力漏れやミスが発生しやすい。そのため、人とモノのどちらの起点からも一覧でき、かつ、定期的にアラームが入るなど、セキュリティ対策が十分考慮された管理ツールを利用することも検討する。

(Photo: photoAC/maroke)

 このような基本を固めつつ、次のより強度なセキュリティ対策を導入していくことが必要です。

 そもそも、ウイルスの感染源がすぐに特定できなければ、最悪の場合、ネットワークを通じて被害が際限なく広がり、比例的に被害額も大きくなるリスクを抱えています。

 先に取りあげた事例1は、幸いにも一定の規模で食い止められました。しかし、状況によっては、被害がより大きなものとなり、取引先や顧客にまで多大な被害が及ぶ可能性もあります。国をまたいで海外企業にも影響が及べば、国内インシデント以上に対応コストが増大するおそれもあるでしょう。むろん、レピュテーションリスクも生じることになります。

 自社がどのようなIoT機器を持ち、どのネットワークにつながっているかという基本的なことがおろそかにされていれば、その先にいかに強固なセキュリティを強いたとしても、入り口の部分で防ぐことができません。そのため、把握して管理するという基本導線が重要となるのです。

おわりに

 今回はIoT機器のセキュリティリスクの対策のために、まずは基本的な部分から固めていくべきことをお伝えしました。

 他の論点としては、自社従業員以外の取引先や協力会社といった第三者(サードパーティ)が業務上の目的やメインテナンスするために操作するデバイスについては、また別の視点が必要でしょう。例えば、利用ガイドラインを取り決め、自社側の管理者を指名して、台帳を整備し、第三者の従業員のアクセス履歴を残すといった対応が必要となります。

 今後は、自動車の自動運転化など、生活やビジネスが一段と「常時接続」という状況になることが予想されます。こうしたIoT機器の管理は一段と重要性が増していくものと思われます。

 サードパーティを経由した情報セキュリティリスクについては、過去の記事もご覧ください。

 ジョーシスは、SaaS管理プラットフォーム(SMP:Saas Management Platform)であり、SaaS等クラウドサービスの一元管理やシャドーITの検知のほか、ITデバイスの管理やアウトソースといった統合管理プロダクトを提供しています。また、SaaS審査やコスト最適化のご相談にも対応しています。少しでも気になることがあれば、気軽にお問い合わせください。

 記事で取り上げて欲しいテーマやご意見・ご感想等も歓迎です。

お問い合わせ note@josys.com
ジョーシスについて https://jp.josys.com/

執筆者:川端隆史 ジョーシス株式会社シニアエコノミスト

この記事が気に入ったらサポートをしてみませんか?