IoT(Internet of Things)の最新ニュースや企業&ベンチャー事例(ケーススタディ)ほぼ毎日掲載

テクノロジー
2017.10.24

深刻化するIoTセキュリティ。人材不足を越える策
脆弱なIoTデバイスを狙い急増するサイバー攻撃にどう備える?

BY

なぜ、IoTデバイスが狙われるのか

2017年10月、総務省が「IoTセキュリティ総合対策」を公表した。あらゆるものがネットワークにつながるIoT/AI時代の到来に際し、取り組むべき課題を整理したものだという。公表の背景には、近年深刻化するサイバー攻撃の脅威がある。

史上最大規模のDDoS攻撃(※1)として2016年に世界を騒然とさせたマルウェア「Mirai」。IoTデバイスであるネットワークカメラに感染し、アメリカのネット企業を中心に大きな被害を与えた。

また、2017年5月にはパソコンの身代金を要求してくる「WannaCry」というランサムウェアが世界中に蔓延。パソコンだけでなく、デジタルサイネージなどの端末にも感染が確認され、サイバー攻撃の恐ろしさを一般にも知らしめる事態となった。

MiraiやWannaCryの事例を通じて見えてくるのが、IoTデバイスのセキュリティ脆弱性だ。

今やネットに常時接続することが当たり前の世の中となり、パソコンにおいてはセキュリティ対策は必須のものとして認知されている。

しかし、パソコンとは異なりキーボードやディスプレイなどを備えないものが多く、入力インタフェースが貧弱なIoTデバイスでは、セキュリティ対策も十分に行なわれない場合が多い。特に、ネットワークカメラなどは脅威が少ないと考えられ、パスワードも初期値のまま運営されていることが多いようだ。

先に述べたMiraiなどのマルウェアは、こうしたIoTデバイスの脆弱性を狙ったものと言えるだろう(WannaCryはパソコンを狙ったものがたまたま脆弱なIoTデバイスにも感染した事例だと思われる)。

また、直近でも新たなセキュリティリスクが表面化した。2017年10月16日、無線LANで使われる「WPA2」というプロトコルに脆弱性が見つかったのだ。この脆弱性をついた攻撃を受けると、暗号化した通信内容が読み取られてしまうという。

「KRACKs」と名付けられたこの攻撃は広く一般的に使われている通信プロトコルの脆弱性をついたものであるため、パソコンであれIoTデバイスであれOSにかかわらず、通信するあらゆる端末に影響を及ぼす。その影響範囲はとても広くなるだろう。

今後、IoTデバイスはますます応用領域が広がっていく。例えば、自動運転車や医療機器などがIoT化された場合、サイバー攻撃は人命を危険にさらすことにもつながりかねない。

そのため早急に対応が必要と思われるが、なかなか進まない事情もあるようだ。

※1 大量の処理要求を送りつけ対象をサービス機能停止状態に追い込む攻撃手法

対策の要となるセキュリティ人材は慢性的に不足状態

IoT分野におけるセキュリティ対策の浸透には、専門家である情報セキュリティ人材が不可欠と考えられる。しかし、経済産業省が2016年に公表した「IT人材の最新動向と将来推計に関する調査結果」によると、2016年時点で情報セキュリティ人材が132,060人も不足しているという。この状況は今後も続き、東京オリンピックが開催される2020年には193,010人が不足するという推計も示されているのだ。

情報セキュリティ人材の不足数推計
(経済産業省『IT人材の最新動向と将来推計に関する調査結果』をもとにIoT Today編集部作成)

同資料によると、こうした不足の背景としてユーザー企業においては情報セキュリティ人材のキャリアパスを考慮していない、という状況が一因としてあるようだ。特に中小企業では、専門性が考慮された人事制度を取っているのは約2割にとどまるという。

また、セキュリティベンダーへの調査によれば、採用に際して「募集をしても必要な経験やスキルを有する応募者が少ない」という回答がもっとも多く(39%を占める)挙げられており、情報セキュリティ人材の育成が間に合っていない状況が見えてくる。

人材育成への取り組みは

2017年度より、新しく「情報処理安全確保支援士」という国家資格の認定試験が始まった。3年ごとに更新する登録制になっており、登録者は資格名称を名乗りロゴマークを利用することができるようになる。

2017年10月時点で累計6,944人の登録があるという。

試験を運営する情報処理推進機構/経済産業省としては、この資格を通じて情報セキュリティ人材の存在感を向上させたい思惑があるのだろう。ひいては、それによって企業での待遇が向上し、人材育成の進展につながることを期待していると思われる。

しかし、現時点での産業界からの評価はそうした期待からは離れているようだ。登録維持のための講習費(3年間で15万円)やインシデント発生時に資格者が刑事罰対象となることなどから、企業が自社の社員に資格取得を積極的に勧めるメリットを見出せないでいる。

こうした状況では、従来からある同じく国家資格の情報処理技術者(情報セキュリティスペシャリストやテクニカルエンジニア)と同程度の評価しか得られず、人材育成が劇的に進むことは期待しづらいだろう。

人材育成だけでない官民の取り組み

人材不足解消が進まない一方、サイバー攻撃の脅威は日ごとに増しており、対策を求める流れはますます強まっている。

そんななか、内閣サイバーセキュリティセンター(NICS)が2017年9月20日、政府のサイバーセキュリティに関する予算(平成30年度予算概算要求)を発表。これによれば、平成29年度当初予算額である598.9億円から約120億円増加した727.5億円を計上している。

また、総務省は2017年9月5日にIoT機器の脆弱性調査を実施することを発表した。重要インフラを中心に、サイバー攻撃観測網や脆弱性探索手法を活用。脆弱なIoT機器を発見した場合は所有者等に注意喚起を行なうという。必要に応じて製造事業者等に対して脆弱性に関する技術的な情報提供も行なう。

総務省報道資料「IoT機器に関する脆弱性調査等の実施」より

積極的な取り組みを始めているのは政府だけではない。民間でも抜本的な対策が模索されている。

冒頭でも触れたとおり、IoTデバイスはインタフェースの制約などから十分なセキュリティ対策を講じることが困難だ。そこで、IoTデバイス自体に製造段階からセキュリティ対策機能を組み込もうとする動きが始まっている。

ルネサス エレクトロニクスはセコム、セコムトラストシステムズと協業し、IoTを構成するゲートウェイやエンドポイント機器に搭載する半導体へ機密情報を組み込み、管理するIoTセキュリティプラットフォームを発表した。

また、日本で最初の民間電子認証局であるサイバートラストは米ラムバス社と提携し、ICチップの製造段階から電子認証情報を格納し、認証システムと連携することで所有者の身元を確認することや、更新ソフトウェアについても間違いなく製造メーカーが公開したものが提供される仕組みなどを提供するという。

人材不足の解消は一朝一夕には実現できない課題であろう。

そうした時にIoTデバイス自身に電子認証情報を持たせるという取り組みは、早期に実現可能な対策として注目を集めそうだ。

JBPRESS

記事ランキング

  • 直近1時間
  • 昨日

話題のキーワード

注目連載

あわせてお読みください

IoT人気記事ランキング|認証速度0.3秒で精度99%のAI顔認証など[3/23-3/29]

IoTで要介護高齢者の状態改善、パナソニックが効果を検証(ニュース)

KDDI、セルラーLPWAでLPガス事業者のDXを支援する「KDDI ガスプラットフォームサービス」

欧米の最新動向は? 5G時代のIoT競争、世界の覇権はどこが握るのか

アドバンテック、エッジコンピューターとGPUモジュールが5Gパトロールロボットに採用

IoTセンサーで牡蠣養殖を効率化、徳島県でKDDIなど5者が新たな取り組み

ドコモ、IoT向け通信「NB-IoT」を1年弱で終了

法人向け5G市場は「DXとの相互作用で成長する」

五島市マグロ養殖作業者の作業効率化と安全確保を実現するICT/IoTを使った実証実験を実施

NECソリューションイノベータ、「NEC IoT センサデータ可視化サービス」を4月提供開始

NTT、トヨタに続きゼンリンと資本業務提携…高度地理空間情報データベースを共同構築

各種センサーデータをクラウドで可視化するシステムをパッケージ化、NECソリューションイノベータ | IT Leaders

NTTとゼンリンが資本業務提携。IoT/AI時代に向け地図の高度化に取り組む

【株式会社カミナシ】タイムマシーン株式会社と業務提携IoT技術と品質管理プラットフォームの組み合わせによりHACCP市場のニーズに応えるソリューションを提供

パナソニック、IoTモニタリング等を活用した在宅高齢者向け「デジタル・ケアマネジメント」の効果を検証

NECソリューションイノベータ、「NEC IoTセキュリティ診断サービス」を提供開始

テクサーがG-DASと業務提携、ZETAとIoTセンサー可視化アプリを組み合わせたソリューションパッケージを開発・販売

セキュアIoTプラットフォーム協議会「グローバル環境において求められるIoTセキュリティに関する考察」をリリース

5G時代の工場ネットワーク進化論

NECソリューションイノベータ、IoT機器の技術基準適合認定の取得をサポートする「NEC IoTセキュリティ診断サービス」提供開始

IoTニュース

IoT人気記事ランキング|認証速度0.3秒で精度99%のAI顔認証など[3/23-3/29]
IoTで要介護高齢者の状態改善、パナソニックが効果を検証(ニュース)
KDDI、セルラーLPWAでLPガス事業者のDXを支援する「KDDI ガスプラットフォームサービス」
欧米の最新動向は? 5G時代のIoT競争、世界の覇権はどこが握るのか
アドバンテック、エッジコンピューターとGPUモジュールが5Gパトロールロボットに採用
IoTセンサーで牡蠣養殖を効率化、徳島県でKDDIなど5者が新たな取り組み
ドコモ、IoT向け通信「NB-IoT」を1年弱で終了
法人向け5G市場は「DXとの相互作用で成長する」
五島市マグロ養殖作業者の作業効率化と安全確保を実現するICT/IoTを使った実証実験を実施
NECソリューションイノベータ、「NEC IoT センサデータ可視化サービス」を4月提供開始
NTT、トヨタに続きゼンリンと資本業務提携…高度地理空間情報データベースを共同構築
各種センサーデータをクラウドで可視化するシステムをパッケージ化、NECソリューションイノベータ | IT Leaders
NTTとゼンリンが資本業務提携。IoT/AI時代に向け地図の高度化に取り組む
【株式会社カミナシ】タイムマシーン株式会社と業務提携IoT技術と品質管理プラットフォームの組み合わせによりHACCP市場のニーズに応えるソリューションを提供
パナソニック、IoTモニタリング等を活用した在宅高齢者向け「デジタル・ケアマネジメント」の効果を検証
NECソリューションイノベータ、「NEC IoTセキュリティ診断サービス」を提供開始

IoTニュース”は、Mynd Engineを活用して、世の中のIoT関連の記事をまとめさせていただき、ご紹介させていただきます。