サイバー攻撃による被害の深刻化。対策
を導入する際にも新たな課題が。

IoTではサイバー攻撃の被害者になる機会と被害の規模が深刻化。
必要とされるセキュリティ対策と対策導入のための課題とは。

IoTを狙うサイバー攻撃は、被害者になる機会と被害の規模を、
同時に増大させる。

出典:IoT機器の急速な普及(総務省データ)

IoTの拡大には利点(メリット)と欠点(デメリット)が存在。セキュリティ対策の不備がサイバー攻撃の起点に。

IoT(Internet of Things)の状況では、様々な機器がネットワークに接続され、人々の暮らしの利便性が向上していきます。また、機器ベンダの立場においても、有用なデータを収集・分析することによる新しい価値の創造や、遠隔での製品の保守・運用が可能になります。こうした利点の反面、IoTの状況では、サイバー攻撃の起点となる侵入経路が増加していると考えることもできます。

このため、技能のあるハッカーにとっては、サイバー攻撃がますます簡単になります。また、攻撃が成功した場合の社会的インパクトも大きく、ハッカーにモチベーションを与えることにもなっています。

出典:IoT機器の急速な普及(総務省データ)

IoTにおけるサイバー攻撃を受けた際の被害規模は増大。重要インフラや医療機器、輸送機器などへのサイバー攻撃で、身体や人命が毀損される恐れも。

昨今では、重要インフラや医療機器、輸送機器などにおいても、IoT化が進んでいます。もしも、こうした機器がハッカーによるサイバー攻撃を受けて、不正な挙動をしてしまうと、身体や人命が毀損される恐れすらあります。従来のITの状況において、金銭や個人情報が漏洩してしまう事態に輪をかけて、さらなる警戒が必要な状況になったといえます。

そのため、サイバー攻撃の被害が深刻な結果につながる業界から、対応のガイドライン化が進み、セキュリティ対策が急務になっています。

IoTにおいては、従来のセキュリティ対策と比較して、より高度
かつ広範なセキュリティ対策が必要になる。

重要インフラやサプライチェーンを狙ったサイバー攻撃の被害。サプライチェーン全体を保護する仕組みの弱さが原因に。

2021年5月には、ランサムウェアによるサイバー攻撃により、米国のエネルギーインフラが全停止して、大きな混乱を招く事態になりました。これは、運用・保守における、マルウェア混入に対する防御の弱さに原因があったと考えられます。
また、2020年12月には、マルウェアが混入された状態のソフトウェアが、企業や政府機関に配布された事例もあります。これは、サプライチェーン全体を保護する仕組みの弱さに原因があったと考えられます。

IoTにおける高度・広範なセキュリティ対策としては、正しい相手とのみ行う安全な通信で、データの授受や機器制御を行うことが有効。

こうしたサイバー攻撃を防ぐには、どのような対策が有効でしょうか。

IoT機器にインストールされるソフトウェアに、マルウェアが混入されることを防ぐ必要があることがわかります。またこうした防御は、部品レベルの設計・製造から、製品化して流通されるに至るまで、ライフサイクル全体に渡って施される必要があることがわかります。

さらに、製品流通後にもセキュリティ対策が必要とされます。たとえば、出荷後の運用・保守においては、正しい通信相手とのみ安全な通信を行い、データの授受や機器の制御を行う必要があります。

IoTを狙うサイバー攻撃への対策例と、そのための課題とは。

サイバー攻撃に対する各種ガイドラインでは、電子署名技術を使用したマルウェア対策を定めている。

多くのガイドラインでは、マルウェアの混入を防ぐために、電子署名を使用することを定めています。この技術により、インストールしようとしているプログラムが、正しい人間によって作成されたこと。また、作成されてから改ざんされていないことの確認が可能になります。

しかし、電子署名を生成するために使用する暗号鍵が漏洩すると、この対策の意味が失われてしまいます。そのため、暗号鍵を、物理的・論理的に安全な環境で保管し、適切なアクセス制御のもとで使用する必要があります。

製品のメンテナンスに必要とされる安全なネットワーク。種々の課題を解決するセキュリティ基盤を、運用を含めてアウトソーシングできるサービスが求められる。

運用・保守におけるネットワークの保護には、電子証明書を使用することが一般的です。たとえば、製品と保守用PCのような通信機器が、相互に電子証明書を提示することで、なりすましや盗聴を防ぐことができます。お客様の業界によっては、電子証明書の有効期限や用途などが定められている場合があり、そうした要件に準拠した電子証明書を使用する必要があります。また、電子証明書を製品に埋め込む工程を、お客様の既設の製造ラインに追加することを考えると、リアルタイムに電子証明書を発行できることが望ましいといえます。

こうした対策を独自に行うには、そのための基盤の運用・保守・維持・管理のコストと、適切な人員配置が必要になります。また、リアルタイム性の観点からも、クラウドサービスを利用することに利点があります。

「電子署名の生成と暗号鍵の管理」「電子証明書の発行」など

セキュリティ基盤をリアルタイムに利用できるクラウドサービスはこちら 

インフラのセキュリティ製品

東芝が提供する、セキュリティ・認証技術を基盤とした製品/ソリューションの総合サービスをご紹介します。