昨今、IoTを活用したサービス構築を模索している企業は多いと推測されるが、IoT機器などのID管理におけるセキュリティ対策はサービス設計時から考慮することが求められる。本稿では、IoTのセキュリティ管理の重要性について現状の課題と対策を述べる。
IoTを活用したサービスの普及は、これまでの産業を覆し、産業革命に匹敵するともいわれており、実際にIoTを活用したサービス事例が増加している。しかし、現場主導でサービスを構築している例が多く、セキュリティ対策を設計時から考慮している企業は少ない。IoTサービスには自動車や医療など人命に関わるサービスが多いため、サービスの設計時からサイバー空間でのセキュリティ対策を含め計画的に取り組む必要がある。
現状のIoTのセキュリティにおける課題のひとつに、大規模なDDoS攻撃へのIoT機器の加担がある。最近では日本のイルカ漁に反対する組織が、国際的ハッカー集団とともに行った攻撃で、一般消費者のIoT機器が踏み台として利用された。この攻撃により国内のIT企業のWebページがサービス停止に追い込まれる事態となった。本来、IoT機器の利便性を優先して利用しているUDP通信への応答を、攻撃に利用したケースであった。UDP通信は対象ネットワーク内にある機器を検出するために一般的に利用され利便性が高いが、問い合わせ元の確認手順がないまま、指定された送信先に応答を返す仕様となっており、これが悪用されている。DDoS攻撃対策ソリューションを展開しているAkamai社の統計データによると、セキュリティの管理をしていない中小企業内のIoT機器や、一般家庭にあるインターネットに接続したテレビや冷蔵庫などがサイバー攻撃の踏み台として国内でも数万台が利用されていると報告されている。
また、自動車のIoTにおける脆弱性問題が浮き彫りとなった事例を紹介する。Chrysler社製の車が運転手の意図とは違う操作、例えばハンドル操作やアクセル操作などが外部から可能となる脆弱性が発見され、リコール対象となっている事例や、Wi-Fiまたは携帯電話網に接続する車載情報システム(U-Connect)の脆弱性が2013~2015年に販売された複数の車両で発覚している。また、車内の制御機器のファームウェアのアップデートを悪用し、プログラムの改ざんを行い、車の制御を乗っ取る脆弱性事例も発見されている。これらの攻撃に対処するには、機器自体の設計やビジネスサービスの設計時の段階から、機器のID認証基盤を含めたセキュリティ対策を行うことが重要と考える。