サイバーセキュリティと聞くと、パソコンやスマートフォンのウイルス対策ソフトを思い浮かべたり、大企業や行政組織などを狙うサイバー攻撃を想定したりします。一方で、近年はIoT（あらゆるモノがインターネットを介してつながること）の実用化が進み、さまざまな機器がネット経由で情報をやり取りするようになりました。そうしたIoT機器でも、セキュリティは重要課題です。特にIoT機器では、企画から製造、利用、そしてリサイクルや廃棄まで、モノのライフスタイルを通じたセキュリティ対策の考え方が求められます。

 CareerMap編集部 文／ITジャーナリスト・ライター 岩元直久

IoTの普及が拡大しています。スマートウォッチのようなパーソナルな機器から、スマートホームやコネクテッドカー、各種のロボットや産業機器など、多くのモノがインターネットに接続し、データをやり取りしながら稼働するようになっています。センサーやネットワークカメラなど、生活の中では意識していないIoT機器も数多く使われています。

今回は、そうしたIoT機器のセキュリティについて考えていきましょう。IoT機器の場合は、スマートフォンやパソコンのセキュリティ対策とは異なるセキュリティへの考えが必要になるからです。

IoT機器へのサイバー攻撃は、実はすでに一般的になっています。ネットワークカメラの映像を第三者が流出させるような攻撃から、セキュリティ対策が十分ではない（ぜい弱性がある）IoT機器に悪意のあるソフトウエア（マルウエア）を送り込んで遠隔操作するような攻撃まで、その手法は多様です。

IoT機器がサイバー攻撃に狙われやすい理由は、いくつか考えられます。1つは、ネットワークカメラなどの小規模なIoT機器の場合、CPUなどのリソースが不足していることです。小型で数多く配置して利用する機器は、低価格で提供するためにハードウエアの性能に余裕がありません。パソコンなどのように、ウイルス対策ソフトなどを後から搭載する余力がないのです。もう1つはそうした小規模なIoT機器では、IDやパスワードによる認証がしっかりとなされていないケースが多いことです。パスワードを設定してなかったり、初期設定のIDとパスワードで利用していたりすると、悪意ある第三者が簡単に機器を乗っ取ることができます。

また、機器が長く使われることもセキュリティ上のリスクとして挙げられます。パソコンやスマートフォンのようなIT機器は、性能が高く、新しいソフトウエアに対応した製品に短期間で入れ替わります。しかし、IoT機器の中には10年、20年といった期間にわたり使い続けるものも多く、新しい攻撃への対応ができないままでリスクが高まることになるのです。

2016年に発生した「Mirai」というマルウエアによるIoT機器を使ったサイバー攻撃では、乗っ取られた大量のIoT機器が踏み台となって、企業や自治体などのITシステムに大量の通信を仕掛けて機能不全に陥ることが多くありました。IoT機器への攻撃は、機器から情報を盗られるだけでなく、攻撃の踏み台にされて社会や産業にも大きな影響を及ぼします。

工場の機器などをIoT化することで、生産の効率化を推進するといったケースでは、また違う課題があります。もともと、産業用機器の中には、インターネットへの接続を想定していなかったためにセキュリティ対策そのものがパソコンやスマートフォンなどのIT機器に比べて整っていないものも少なくありません。工場内の隔離されたネットワークで使う想定の機器が、IoT化の号令の下でインターネットにつながり、そこからマルウエアなどが入り込むといったことが起こります。産業用機器が悪意ある第三者によるサイバー攻撃を受けると、製品開発や生産にかかわる多種多様な情報が漏えいしてしまう危険性があります。競合他社に新製品の情報が漏れていたら、大きな損失を被ることもあるでしょう。

自動車や家電製品なども、IoT化が進むことで、セキュリティ対策が不可欠になりました。例えば、自動車がハッキングされて制御不能になったり遠隔操作されたりしたら、人命にかかわる大事故を引き起こします。家電製品がハッカーによって勝手に操作され、プライバシー情報が漏えいしたり、火災になったりというリスクもあります。

こうした状況を受け、IoT推進コンソーシアム、総務省、経済産業省は「IoTセキュリティガイドラインver1.0」を公表しています。このガイドラインは、「IoT機器やシステム、サービスの提供にあたってのライフサイクル（方針、分析、設計、構築・接続、運用・保守）における指針を定めるとともに、一般利用者のためのルールを定めたもの」としています。

先にご紹介したガイドラインの中でIoT機器のセキュリティを見てきたところ、「ライフサイクルにおけるセキュリティ」という考え方が浮かび上がってきました。これはどういうことでしょうか。

多様なIoT機器が開発、製造され、販売／流通を経て、ユーザーによって実際に使われて、最終的には廃棄されます。こうした製品の一生をライフサイクルと呼びます。IoTではセキュリティを、機器のライフサイクルを通じて確保する必要があるということなのです。

ここまで見てきたIoT機器へのサイバー攻撃などの事例は、IoT機器を利用しているときに情報を盗まれたり、遠隔操作されたりするものが中心でした。同時に、IoT機器は機能や性能が限られていてセキュリティ対策が万全に行えないことや、長年使うことで対策が時代に合わなくなることもお伝えしました。こうした問題は、製品を開発する前の企画段階から、セキュリティ対策を考慮しないと解決できません。

また運用・保守の側面でも、例えばIoT機器のファームウエアをアップデートするときに、悪意ある第三者がアップデートに成功しないような仕組みが必要です。さらに、中古品として再流通したり、廃棄したりする前に、情報を確実に消去、破棄できるセキュリティ対策も求められます。

このように、ライフサイクルを通じたIoT機器のセキュリティを確保するには、セキュリティ対策ソフトを使うといったピンポイントの対応ではなく、多面的な対応が求められます。製品の方針立案、企画、開発の段階から、製品の一生のあらゆる側面を考慮したセキュリティへの考え方が必要になるのです。

IoTセキュリティガイドラインでは、「セキュリティ確保の観点から、求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促す」と明記しています。セキュリティ・バイ・デザイン（Security by Design）とは、企画・設計の段階から情報セキュリティ対策を組み込む方策のことです。IoT機器の開発に携わるときは、製品のライフサイクルを見通して、当初からセキュリティ対策を考慮した企画・設計を考えなければならないのです。

これから企画し、開発・設計されていく多くの製品は、どこかでネットワークに接続して、便利で効率的な利用ができるようになっていくでしょう。ITにかかわる製品ならばなおさらです。IoT化が広がる中で、セキュリティ対策は避けて通れない関門です。サイバー攻撃に対するセキュリティの知識は、ハードウエア、ソフトウエアによらず、モノを守るためのスキルとしてエンジニアとして働く際には今後さらに重要になります。そうした知識を得た上で、セキュリティ・バイ・デザインについても学んでおくと、今後のモノづくりに求められる考え方が身につき、モノづくりにかかわるエンジニアとしての応用力が高まるでしょう。