HOMEセキュリティ特集狙わない理由はない

第八回 狙わない理由はない

狙わない理由はない

本コラム第一回(サイバー犯罪の代理人)で取り上げたMiraiというマルウェアは、
より進化した派生系が増え続けており、Miraiの派生系によるサイバー攻撃も
ここ1ヶ月で更に増えてきています。

これまで見てきたように、IoTは生活・産業・社会に様々な形で入り込み、
そしてその多くには攻撃者に優位となるような脆弱性が存在していたり、
セキュリティ自体が考えられていない機器が存在してしまっています。
文字通り、攻撃者としてはIoTを狙わない理由は無い状態です。

米国マイクロソフト社によると、2020年にはサイバー攻撃の4件に1件が、
IoTシステムを狙ったものになると予想されています。

制御系システムの80%はWindowsベースで構築されていると言われていますが、
そのシステムはWindowsが持つメリットを享受できるとともに、
Windowsが固有に持っている脆弱性もそのシステムに引き継ぐことになります。
合わせて、IoT固有の脆弱性などもあるため、従来型のセキュリティ製品だけでは
守っていくことが非常に難しい状況です。

有効なセキュリティ対策とは?

IoT機器と、それを用いたシステムのそれぞれにおいて、現時点で優先されるべき
セキュリティ対策のポイントについて見ていきましょう。

まず、IoT機器については、セキュリティ上の脆弱性が発見された場合に、
ファームウェアなどの更新ができなくてはなりません。

非常に単純なことではありますが、ファームウェアなどの更新ができなかったり
パスワードや設定の変更ができない機器は多く存在します。
ファームウェアなどの更新ができない機器の場合、追加のハードウェア購入や
買い替えなどが必要となり、IoTに対する追加の投資や対応するまでに要する時間が
ファームウェアなどの更新だけで対応できる場合と比べてより多く必要となります。

また、IoTシステムのセキュリティについて考える場合に重要なポイントは、
一つの権限が盗まれたことで、何でもできるような状態にはしておいてはいけない
ということです。

サイバー攻撃を行う者は、敢えて侵入の難しい場所から侵入を試みるようなことはしません。

米国の通信会社Verizonの調査によると、侵入されたサーバのうち97%は
「侵入が難しくなかったから」という理由があげられています。
侵入が難しくない場所から侵入された際に、そこから先はシステムの
どこにでも出入りできてしまうようになっていると、
他の箇所のセキュリティ対策を高めたところで意味が無くなってしまいます。

現状の多くのIoTシステムでは、どこか1箇所からでも侵入されてしまうと、
そこからシステムのどこにでも侵入できてしまう状態になっていることが多く見られます。
システムを構成する機器やサーバなどは、相互にそれ以上の侵害を防ぐ
隔壁となるよう構築されていることが理想的です。

そこで、本編の第九回、第十回では、それぞれの対策箇所ごとに、
どのような対策方法があるのかを解説していきます。

執筆者

足立 照嘉

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。
テレビのコメンテーターなどにもアドバイスを行なっている。