MISSION 3-16 ビジネスを発展させるために(攻めのIT投資とサイバーセキュリティ対策) IoTを活用するための基本ルール
POINT 1 IoTのセキュリティは製造サービス提供側とサービス利用者側の双方の意識が大切
製造業を中心にIoTを利活用する動きが加速しています。
IoT機器はインターネットに接続しているネットワーク機器の一種。そのためパソコンと同様にサイバー攻撃のリスクがありますが、セキュリティ面がなおざりにされているものもあります。それらを利用するとサイバー攻撃によってシステムが使えなくなる、あるいは第三者への攻撃の踏み台となるかもしれません。
IoTのセキュリティは、製造サービス提供側とサービス利用者側の双方が注意を払わなくてはならないのです。
出典;JPCERT/CC「IoTセキュリティチェックリスト利用説明書」(2019年6月)より作成
POINT 2 IoT機器やシステム、サービスの提供にあたっての指針
■ 指針1 IoTの性質を考慮した基本方針を定める
IoT機器が原因で情報流出や社会インフラの停止などが起こった場合は、IoT機器やシステム、サービスの提供側の経営責任が問われることもあります。リスクを認識し、内部不正やミスに備えることが必要です。
■ 指針2 IoTのリスクを認識する
他の機器とつながることで、影響が広範囲になるリスクを想定することが大切です。不正操作や、廃棄機器からの情報漏えいリスクも考慮します。
■ 指針3 守るべきものを守る設計を考える
つながる相手や状況に応じてつなぎ方を判断できる設計を検討しましょう。安全安心を実現するために設計が妥当かどうかの評価も必要です。
■ 指針4 ネットワーク上での対策を考える
セキュアなゲートウェイを利用するなど、ネットワーク構成やセキュリティ機能の検討を行いましょう。初期設定もセキュリティに留意し、利用者にも注意喚起を行います。
■ 指針5 安全安心な状態を維持し、情報発信・共有を行う
出荷・リリース後も安全安心な状態を維持できるようソフトウェアをアップデートする手段を確保します。脆弱性について情報発信し、セキュリティに関する重要事項はユーザーへあらかじめ説明しましょう。
参考:IoT推進コンソーシアム「IoTセキュリティガイドラインver1.0」(平成28年7月)より
POINT 3 IoT機器の一般利用者のためのルール
| ルール1 | 問い合わせ窓口やサポートのない機器やサービスの購入・利用を控える |
機器やサービスの問い合わせ窓口やサポートがない場合は、不都合が生じたとしても、適切に対処することが困難になります。サービスの購入・利用は控えましょう。
| ルール2 | 初期設定に気を付ける |
機器を初めて使用する際には、IDやパスワードの設定を適切に行います。パスワードの設定では、「機器購入時のパスワードを必ず変更する」「他の人とパスワードを共有しない」「他のパスワードを使い回さない」「不要なサービスや機能は有効化しない」に気を付けましょう。また、取扱説明書などの手順に従って、自分でアップデートを実施しましょう。
| ルール3 | 使用しなくなった機器については電源を切る |
使用しなくなった機器や不具合が生じた機器をインターネットに接続したまま放置すると、不正利用されるおそれがあります。使用しなくなったWebカメラやルーターなどをそのまま放置せず、電源プラグを抜きましょう。
| ルール4 | 使用しなくなった機器は必ずデータを消す |
情報が他の人に漏れることのないよう、機器廃棄・下取りなどのときは、事前にデータを削除しましょう。
参考:「IoTセキュリティガイドライン」(総務省 経済産業省 平成28 年7月)より
POINT 4 Society5.0とIoT
Society5.0が目指す社会では、IoTによってPCやスマートフォンだけでなく家電製品や車、建物などあらゆるモノがサイバー(仮想)空間とフィジカル(現実)空間で融合されます。このため、IoT機器へのサイバー攻撃が成功すると、フィジカル空間にも影響を与える可能性が高まります。
例えば、IoT製品などに感染するウイルス「Mirai」によりWebサイトが大規模なサイバー攻撃を受けました。さらに重要インフラや生産設備への攻撃による大規模な被害も発生しています。
IoT製品をはじめ、インターネット接続される多様な機器に適切なセキュリティ対策が行われず、インターネット上に晒されアクセス可能な状態にある製品を監視し被害を防止するために、「NOTICE(National Operation Towards IoT Clean Environment)」が行われています。これはサイバー攻撃に悪用されるおそれのあるIoT機器の調査および当該機器の利用者への注意喚起を行うもので、総務省、国立研究開発法人情報通信研究機構(NICT)および一般社団法人ICT-ISAC が主体となって実施されています。
出典:内閣府「IoT社会に対応したサイバー・フィジカル・セキュリティ 『サイバー・フィジカル・セキュリティ対策基盤』の研究開発」より作成