現在のセキュリティ対策は、新しい技術が市場に投入される速度に追いついているとはいえません。急激な発展を遂げている技術分野の1つである モノのインターネット(IoT) (ウェブカメラ、スマートサーモスタット、ウェアラブルヘルストラッカー、その他のスマートオブジェクトを含む)は、業界の注目を集めながら刻一刻と成長しています。2030年までに、 IoTデバイスの接続数は400億台に上ることが予想されています。
ノートパソコンやサーバーなど、従来のインターネット接続デバイスとは異なり、IoTデバイスは最小限のソフトウェアとリソースで動作します。これらの多くは、アップデートが困難、または不可能なネットワークに配置されており、サイバーセキュリティの脅威に対して脆弱です。
IoTセキュリティは、これらのリスクを理解し、軽減するための鍵となります。IoTセキュリティを採用することにより、IoTネットワークおよびデータ全体の保護が保証されます。IoTセキュリティにおける課題と、IoTシステムを保護するためのベストプラクティスをご覧ください。
IoTセキュリティにおける課題とは
IoTデバイスは、他のシステムと同じようなサイバーセキュリティの課題を多く抱えていますが、固有の課題も存在します。
- 埋め込みパスワード:多くのIoTデバイスには、リモートサポート技術者によるトラブルシューティングや、大規模なIoT展開を支援するパスワードが埋め込まれています。しかし、これらの埋め込みパスワードは、攻撃者による不正なアクセスを容易にするため、IoTセキュリティの侵害につながる可能性があります。強力な認証手段なくしては、重大なセキュリティリスクが生じることとなるのです。
- デバイス認証の欠如: 適切な認証 なしでネットワークにアクセスすることをIoTデバイスに許可した場合、IoTエコシステムは未知および未承認のデバイスに対し開放されることになります。未承認のデバイスは、攻撃のエントリポイントやソースとして機能したり、機密データの侵害を引き起こしたりする可能性があります。
- セキュリティパッチの適用とアップグレード:一部のIoTデバイスでは、セキュリティパッチの適用やソフトウェアのアップグレードを行うための簡単な手段が提供されていない、あるいはいかなる手段も提供されていない場合があります。古いIoTシステムの使用は脆弱性につながるため、当該システムは攻撃者やセキュリティ脅威にとって格好のターゲットとなります。
- 物理的な強化:クラウドベースのインフラスラクチャとは異なり、IoTデバイスは攻撃者による物理的なアクセスを可能とします。適切なセキュリティの自動化と物理的な保護対策が適用されていない場合、攻撃者はデバイスのハードウェアを改ざんし、埋め込みパスワードや暗号化キーなどの機密情報を抽出することができます。
- 古いコンポーネント:IoTデバイスのハードウェアまたはソフトウェアコンポーネントに脆弱性が発見された場合、製造業者やユーザーによるアップデート・交換は困難、そして高額になる可能性があります。セキュリティパッチが適用されていない場合と同じく、古いIoTアプリケーションの多くは攻撃に対して脆弱となります。
- デバイスの監視と管理:アセットの追跡、監視、および管理を容易にする一意の識別子が、すべてのIoTデバイスに付属しているとは限りません。また、IT担当者が、監視および管理するホストの中にIoTデバイスが存在することを想定しているとは限りません。アセット追跡システムではIoTデバイスが考慮されないことがあり、この場合、当該デバイスは管理も監視もされずにネットワーク上で放置されてしまうのです。
これらの課題のほとんどは、IoTデバイスの設計と製造においてセキュリティが後回しにされていることに起因するものです。開発者が設計プロセスにおいてIoTのセキュリティ要件を考慮した場合でも、処理能力やメモリ、データ転送速度などにおける制限により、実装は困難となります。これらのデバイスのセキュリティは、製造時点では最高のものであることがほとんどですが、製造後や設置後にエクスプロイトが開発されると、新たな脆弱性やリスクにさらされる可能性が生じます。
セキュリティ制御を実装する上での最初のステップは、制御が必要となる場所の特定です。これは、IoTデバイスの保護におけるもう1つの課題であるといえます。IoTデバイスは、ネットワークデバイスとして認識されず、ネットワークのインベントリやマッピングを行う際に見落とされてしまうことが多いため、その存在を把握していない場合には保護することができません。
幸いなことに、IoTメーカーはこうした問題に対処し始めていますが、現在IoTを使用している、または今後使用する予定がある組織は、これらの問題の解決をじっと待っているわけにはいかないでしょう。セキュリティリスクを軽減するため、組織では強力なパスワードや 脅威の防止など、IoTセキュリティにおけるベストプラクティスを実装する必要があります。
IoTセキュリティにおける課題を軽減するためのソリューション
製造業者や実装者は、IoTセキュリティのベストプラクティスを実施することで、セキュリティリスクを軽減する必要があります。IoTデバイスのセキュリティ保護を行うには、以下の手順に従います。
| セキュリティにおける課題 | セキュリティソリューション |
| 埋め込みパスワード | 静的/埋め込みパスワードを廃止します。製造業者は、デバイスの設定時に強力なパスワードを作成するようユーザーに要求する必要があります。 |
| デバイス認証の欠如 | 製造業者は、資格情報を挿入してローテーションする企業パスワードマネージャを使用し、ディレクトリ統合(LDAPおよびSAMLを使用)を実施する必要があります。 |
| セキュリティパッチの適用とアップグレード | 製造業者は、デバイスのアップグレードやパッチ適用を容易にする必要があります。自動またはワンクリックのプロセスが理想的となります。 |
| 物理的な強化 | IoTデバイスには、改ざん防止機能が必要となります。オフライン時間の検出のためにデバイスを監視し、予期せずオフラインになった際には検査を行う必要があります。 |
| 古いコンポーネント | 脆弱なデバイスは、アップデートまたは交換する必要があります。この問題の解決は、遠隔地に多くのIoTデバイスがある環境では特に困難となります。そのような場合には、より厳格なセキュリティ管理と厳重な監視を実施する必要があります。 |
| デバイスの監視と管理 | すべてのIoTデバイスがアセットの追跡、監視、および管理システムに含まれていることを確認します。製造業者には、各デバイスに一意の識別子を提供することが求められます。 |
これらのIoTセキュリティ問題の多くは、製造業者にのみ解決することが可能です。セキュリティ、IT、およびOTチームにより対処可能な重要領域の1つとして、デバイス管理が挙げられます。
IoT展開の計画または実装の担当者は、アセット管理やシステム監視、セキュリティ監視、パッチ管理、およびインシデント対応システムにおいてIoTデバイスを適切に考慮する必要があります。
IoTセキュリティの侵害およびハッキングの例
IoTデバイス関連の攻撃は、IoTデバイス自体が攻撃の最終ターゲットとなるものと、IoTデバイスにより他のターゲットが攻撃されるものの2つに大きく分けることができます。以下に、両方の攻撃の実例を示します。このうち2つは実際に発生したインシデントで、1つはセキュリティ研究の概念実証です。
- Akiraランサムウェアによるエクスプロイト:Akiraランサムウェアグループは、セキュリティ保護されていないLinuxベースのウェブカメラを利用して企業ネットワークに侵入しました。攻撃者はデフォルトの、または脆弱な資格情報を悪用してデバイスへの初期アクセスを取得し、ネットワーク共有を暗号化することで広範囲にわたる被害をもたらしました。IoTデバイスには堅牢なログ記録および監視機能が欠けていたため、攻撃者はランサムウェアの実行を検出および防止するために設計されたエンドポイントのセキュリティ対策を回避することに成功しました。
- Dynに対するDDoS攻撃:2016年10月、DNSサービスを提供する企業であるDynが分散型サービス拒否(DDoS)攻撃を受けたことにより、インターネット上の多くのサイトがアクセス不能になりました。X(旧Twitter)、Spotify、GitHub、Netflix、ニューヨーク・タイムズ、PayPalなどの主要なウェブサイトが数時間にわたって停止しました。この攻撃では、Mirai IoTボットネットにより60万台を超えるIoTデバイスが制御され、Dynに大量のトラフィックが流入しました。制御されたのは、主にルーターやIPカメラなどのデバイスでした。IPカメラは攻撃のターゲットとなることが多いIoTデバイスです。
- ジープ・チェロキーに対するサイバー攻撃のデモンストレーション:IoTデバイスがターゲットとなったこの恐ろしい攻撃で、被害を受けた「デバイス」は自動車でした。幸いなことにこれは、セキュリティ研究者のチャーリー・ミラー氏とクリス・ヴァラセック氏が、ジープ・チェロキーの運転席に座ったWiredの記者、アンディ・グリーンバーグ氏のために行った攻撃の制御されたデモンストレーションでした。ミラー氏とヴァラセック氏は、携帯電話のインターネット接続を介し、数マイル離れた場所から遠隔操作でエアコン、ラジオ、そしてワイパーをオンにしました。これはほんの始まりに過ぎませんでした。彼らは次に、ジープを減速させ、遠隔操作によりアクセルを無効にしました。
IoTシステムおよびデバイスのセキュリティ保護を行う方法
IoT攻撃は、深刻な結果をもたらす可能性があります。IoTシステムおよびデバイスのセキュリティ保護は、製造業者と、それらを使用する組織の両方が行う必要があります。ネットワーク上にどのようなデバイスがあり、それらがネットワークトポロジのどこに存在するかを把握することが、IoTエコシステムをセキュリティ保護するための鍵となります。このような可視性なくしては、目隠しをされながら飛行するのと同じことになります。見えないものを守ることはできないのです。
ネットワーク上のIoTデバイスを特定する1つの方法として、ネットワークへの参加時にすべてのホストとデバイスに対して認証を要求する、というメソッドが挙げられます。認証に失敗したデバイスにフラグを付けることで、調査が可能となります。デバイスがIoTネットワークに属している場合、新しく認証を設定することができ、属していない場合は、未承認のデバイスが検出されたことを意味します。
IoTデバイスをセキュリティ保護するもう1つの方法は、ネットワークセグメンテーションです。IoTデバイスのために独自のネットワークセグメントを設けることで、ファイアウォールルールとIoT固有のセキュリティポリシーを実装し、露出を制限することが可能となります。潜在的なIoTセキュリティの侵害が発生した場合には、侵害を受けたデバイスからのトラフィックを素早くブロックすることにより、攻撃の影響を最小限に抑えることができます。
IoTデバイスの認証後、アクティビティの可視化にはSumo Logicのような クラウドネイティブのセキュリティ監視および分析プラットフォームを使用します。ソリューションの使用により、データに基づいた意思決定が支援され、インシデント対応時間が短縮されるため、企業チームはより重要なアクティビティに集中することができるようになります。
セキュリティイベントについてさらなる可視性が必要な場合、組み込みの脅威インテリジェンスフィードとのバンドルもご利用可能です。フィードが提供する最新のIOCデータを迅速に相互相関処理することで、環境内における潜在的な脅威の特定が実現します。
今すぐお試しください。 30日間の無料トライアルを開始しましょう。
