2016年7月にIoT 推進コンソーシアム・総務省・経済産業省が連名で、IoTのセキュリティの指針となる「IoT セキュリティガイドライン ver 1.0」を発表しました。
IoT セキュリティガイドライン ver 1.0
その中で、IoTは「企業活動や製品・サービスのイノベーションを加速する一方で、IoT 特有の性質と想定されるリスクをもつことから、これらの性質とリスクを踏まえたセキュリティ対策を行うことが必要である」としています。
性質1 脅威の影響範囲・影響度合いが大きいこと
コネクテッドカー等のIoT機器はインターネット等のネットワークに接続していることから、一度攻撃を受けるとIoT機器単体に留まらず、ネットワークを介して関連するIoTシステム・IoTサービス全体へその影響が波及する可能性が高いです。IoT機器が急増していることによりその影響範囲はさらに拡大してきています。
また、自動車分野、医療分野等において、IoT機器の制御にまで攻撃の影響が及んだ場合、生命が危険にさらされる場面さえも想定されます。
さらに、IoT機器やシステムには重要な情報(例えば個人の生活データ、工場のデバイスから得た生産情報等)が保存されている場合もあり、これらのデータが漏えいすることも想定されます。
性質2 IoT機器のライフサイクルが長いこと
一般的に、自動車の平均使用年数は12~13年程度、工場の制御機器等の物理的安定使用期間は10年~20年程度であることから、IoT機器として想定されるモノには10年以上の長期にわたって使用されるものも多く、導入時に適用したセキュリティ対策が時間の経過とともに時代遅れになり、セキュリティ対策が不十分になった機器がネットワークに接続され続けることが想定されます。
性質3 IoT機器に対する監視が行き届きにくいこと
IoT機器の多くは、パソコンやスマートフォン等のような画面がなく、人間の目による監視が行き届きにくいです。そのため、利用者にはIoT機器に問題が発生していることがわかりづらく、管理されていないモノが勝手にネットワークにつながり、マルウェアに感染することなども想定されます。
性質4 IoT機器側とネットワーク側の環境や特性の相互理解が不十分であること
IoT機器側とネットワーク側それぞれが有する環境や仕様が、お互い十分に理解されておらず、IoT機器がネットワークに接続することによって、安全や性能を満たすことができなくなる可能性があります。
特に、接続するネットワーク環境は、IoT機器側のセキュリティ要件を変化させる可能性があることに注意する必要があります。
性質5 IoT 機器の機能・性能が限られていること
センサー等のリソースが限られたIoT機器では、暗号等のセキュリティ対策を適用できない場合があります。
性質6 開発者が想定していなかった接続が行われる可能性があること
IoTではあらゆるものが通信機能を持ちます。これまで外部につながっていなかったモノがネットワークに接続されるため、IoT機器のメーカや、システム、サービスの開発者が当初想定していなかった影響が発生する可能性があります。
このように、IoTは、今までのパソコン、スマートフォンを中心としたIT化以上に、複雑で広範囲な影響を持つことが想定されるため、セキュリティ対策にはより慎重に取り組む必要があります。