IoTガイドラインの解説書公開、IoT機器のセキュリティについて
#35 放送回のニュース解説を一部ご紹介!
IoTガイドラインの解説書が公開されました。多くの人に活用してもらえるように工夫がなされているとのことです。記事には「ガイドラインへの理解を深め、IoT機器における最低限の守るべき要件への対策や、評価方法の検討に役立てることを目的としたもの」とあります。多くの人が内容を理解できるように、今回はガイドラインとは別に解説書が作られたという事です。(省略)中身について見ていくと、脆弱性の説明だけではなく脅威の背景や攻撃経路、対策しないとこうなるという事例や脅威や対応策など、8つの項目について記載されていまして、ユーザー企業とベンダー企業のいずれもIoTのセキュリティを考える上で活用しやすい内容となっております。
どういった状態のIoT機器がサイバー攻撃の対象となりやすい?
サイバー攻撃で狙われやすいIoT機器は工場出荷状態、つまりデフォルト設定のままで使われているものが良く狙われています。理由はパスワードや管理画面へのアクセス方法が攻撃者に知られてしまっている状態であるからです。今から4年前の2016年、監視カメラなどのIoT機器を狙ったMiraiというコンピューターウイルスが流行しました。Miraiが感染したIoT機器は過去に例を見ないほどの大規模な負荷をかけていくような、DDoSと呼ばれる攻撃に利用されてしまいました。Miraiが多くのIoT機器に感染できたのは、それだけ多くのIoT機器がデフォルト設定のまま使用されていることの裏返しとなります。そのほかには家庭用のブロードバンドルーターなども、特定の脆弱性が狙われてリモートから設定が変更され、家庭内のパソコンも攻撃に晒されてしまうような事例も発生しています。たとえ個人の利用であったとしても、記事の脆弱性が放置されることによって、攻撃者にとっては格好の標的となってしまいます。
IoT機器の開発者の気を付けるべきこと
IoT機器のアップデートはパソコンほど簡単なものではないのが現状です。記事にも「この脆弱性の残るルーターは多くのビジネスホテルなどに未だ存在している」とあります。脆弱性があることはわかっていて更にはベンダー企業で修正が行われていたとしても、ユーザーまで浸透するまでには時間がかかるという事です。とはいえ出荷前にすべての脆弱性を完全に修正することも、特にオープンソースなどを利用している場合は、残念ながら現実的ではないということがあります。少し悲観的な話になってしまいましたが、そのような状況でもIoT機器の開発者が気を付けるべき点としては、セキュリティ・バイ・デザインという考え方を開発に取り入れることです。
セキュリティ・バイ・デザインとは?
開発の企画や設計段階からセキュリティ対策を考えることです。具体的には、開発の実装前にセキュリティ要件について検討されますので、例えばデフォルト設定をそのまま使用させないような設計、オープンソースを利用する場合のリスクについても実装前に十分検討がなされるということが期待できます。また、かつてIoTという名称で呼ばれる前の機器たちは売っておしまいということが一般的だったかと思います。しかしIoT機器はインターネットに繋がる機器はユーザーの手によってアップデートが行われている現状です。つまり、売って終わりにはなりませんので、ユーザーの手に渡って運用された後もセキュリティ・バイ・デザインの考え方は拡大されてセキュリティが考慮されることも一般的になっています。
今回の放送はこちらからお聞きいただけます!