IoT デバイスのセキュリティ

サイバーセキュリティの全体像に関して言えば、IoT (モノのインターネット) セキュリティがますます重要になっています。サイバーセキュリティはインターネットに接続されたシステムをサイバー脅威から保護しようとするものであるのに対し、IoT セキュリティは接続されたデバイスを保護するためのものです。

IoT とは、人手を介することなく、ネットワーク上でデータを送受信する物理デバイスまたはハードウェアの何らかのシステムを指します。通常、IoT システムは、データの送信、受信、分析をフィードバックループで継続的に行うことで機能しています。一般に、「スマート〇〇」と呼ばれるものは IoT を意味します。典型的な消費者向けユースケースは、スマートフォン、スマートウォッチ、スマートホーム、さらには自動運転車にまで及びます。IoT は、医療、サプライチェーン管理、そしてエネルギーや製造などの産業ユースケース (IIoT) でも広く使用されています。  

「IoT」にはセキュリティの「s」が含まれていませんが、含まれるべきです。この動画でその理由を説明します。

IoT デバイスのデータ収集機能とデータ測定機能は、組織が多くの IoT デバイスを使用する強い動機となっています。エッジコンピューティングやリアルタイムの知見および分析などのメリットを持つこれらのデバイスは、多くの場合、デジタルの導入やデジタル・トランスフォーメーションと結び付いています。しかし、デジタルプロファイルを拡大すると、リスクも増大する可能性があります。 

IoT セキュリティが非常に重要である最大の理由は、IoT デバイスがシステムへの不正アクセスに利用される可能性があることです。一般には、IoT デバイスがハッキングされる可能性があることは認識されていないかもしれませんが、ハッキングは可能です。そして、ネットワークに IoT デバイスを 1 つ追加することは、潜在的な攻撃対象領域がそれだけ増えることでもあります。

プリンターや防犯カメラ、サーモスタットをハッキングしたいと思っている人など本当にいるのかと思うでしょうが、実際にいるのです。IoT デバイスのハッキング自体が目的なのではなく、ネットワークにアクセスするという大きな計画の第一歩が IoT デバイスなのです。攻撃者は IoT デバイスを、外部の干渉から適切に保護されている他のシステムへのゲートウェイとして使用します。残念ながら、内部からのアクセスに対しては必ずしも外部と同じような保護が行われないため、IoT デバイスが侵害されると、その侵害が他のシステムに及ぶリスクが高まります。

多くの IoT デバイスには、セキュリティが組み込まれていません。IoT デバイスに関する最大のセキュリティリスクは、IoT デバイスの設計や構築が多くの場合、セキュリティを優先せずに、あるいは考慮することすらなく行われることです。IoT デバイスの脆弱性が公開された場合でも、認識の低さによって、接続されたデバイスが保護されずに数カ月、場合によっては年の単位で放置される可能性があります。以下に例を示します。

• 多くのデバイスには、セットアップを簡単にするためにデフォルトのパスワードが設定されており、ネットワークへの接続後にそのパスワードの変更が求められることはありません。 
• メーカーが開発に使用するソースコードを適切にスキャンしていない場合、ファームウェアにマルウェアが埋め込まれた IoT デバイスを知らないうちに出荷している可能性があります。 

IoT デバイスは常にオンになっており、リモートからアクセスできます。24 時間毎日稼働し続けるという IoT デバイスの性質は、使う人にとって望ましいものですが、悪意のある人にとってもそれは同様です。IoT デバイスにリモートで接続できるのは素晴らしいことですが、それはつまり、誰でもログインを試みることができるということでもあります。ハッカーは自動化を使用し、攻撃の開始点として、パスワードがデフォルトに設定されたまま公開されている IP アドレスを持つデバイスを検索して見つけます。

IoT セキュリティの管理における最大の課題は次のとおりです。

• 認識不足：多くの人は、使っている IoT デバイスがハッキングされる可能性があることに気付いてさえいないため、それらを保護するための措置を講じていません。
• スプロールの管理：所有する IoT デバイスが増えるほど、攻撃対象領域は大きくなります。また、接続されたデバイスの数が非常に多い場合、1 つの組織ではセキュリティ管理に対応しきれなくなる可能性があります。ネットワーク、データ、システムを保護するには、IoT デバイスの管理能力を拡張することが重要です。

ハッカーは、IoT デバイスの脆弱性をどのように、またなぜ悪用するのでしょうか？ 

脆弱性は突発的に発生し、時間とともに変化します。ハッカーの動機についても同じことが言えます。一般的なサイバーセキュリティの脆弱性には、ランサムウェア、マルウェア、フィッシング、分散型サービス拒否 (DDoS) 攻撃などがあります。これらが IoT デバイスを介してどのように実行されるのか、以下に例を示します。

• パスワードがデフォルト設定のままのデバイスを足掛かりにする
• 既知のマルウェア脆弱性があり、それに対するパッチが適用されていない IoT デバイスを見つける
• 多数の接続されたデバイスを乗っ取ってボットネットを構築し、DDoS 攻撃に利用する
• IoT デバイスからネットワークに侵入して機密情報を探り出し、ネットワーク内からフィッシングを行う

IoT デバイスのセキュリティについて考えるとき、留意すべき点は主に 4 つです。 

1. 一元管理：ネットワーク上のすべての IoT デバイスを確認できるレベルの可視化を実現しましょう。 
2. アクセスの制御：承認済みの IoT デバイスだけがネットワークにつながるようにし、それらのデバイスのアクセスを制限しましょう。 
3. ネットワークの監視：平常時のアクティビティがどのようなものかをよく理解しておきましょう。これにより、調査を要する不審なアクティビティを見分けることができます。 
4. 応答時間の自動化：対応を自動化して、危険にさらされる時間を最小限に抑えましょう。監視を通じて、接続されたデバイスが脆弱であることが判明した場合、自動フォローアップによって問題の封じ込めと修復が行われるため、侵害されるリスクが大幅に軽減されます。

IoT デバイスのセキュリティ向上のために、次の 5 点を心がけましょう。

1. IoT デバイスがハッキングされる可能性はないと思い込まないこと。
2. デバイス/サービスごとに異なるパスワードを使用し、デフォルトのパスワードは使用しないこと。
3. 最新のファームウェアとソフトウェアを使用して、接続されているデバイスを最新の状態に保つこと。
4. 接続機能が不要な場合は、WiFi や Bluetooth をオフにすること。
5. IoT デバイスは最も重要なシステムとは別の専用ネットワークに配置すること。セキュリティプロファイルに基づいてデバイスをグループ化し、複数の IoT デバイスネットワークに分割することもできます。

誰もがセキュリティで果たすべき役割を持っています。エンドユーザーからセキュリティチームまで、組織のセキュリティの維持には全員体制で当たりましょう。

セキュリティは継続的なプロセスです。Red Hat は、ネットワーク、インフラストラクチャ、およびアプリケーションにわたる制御、監視、修復に必要なツールを提供することに注力しています。また、組織の IT インフラストラクチャ、開発スタック、ライフサイクル全体で完全に統合されたセキュリティ対策を提供します。組織は、当社の製品やサービスの個々の機能を組み合わせることで、セキュリティ体制を強化できます。