手元にある携帯電話がインターネットにつながり、最新の情報を閲覧できることに喜んでいた時代はすでに昔。いまやスマートフォンがコンピュータの代用となっているのはもちろんのこと、テレビやスピーカー、電子レンジや車、果てはそれらを生産している工場の設備すらインターネットに接続されている「IoT(Internet of Things)時代」が到来しています。
IoT時代においては、セキュリティ担当者が目を向けなければならないデバイスは、個別のコンピュータだけに留まりません。工場の生産設備として使われている機器などの、インターネットに接続されている全ての機器にしっかりと目を向けなければならない時代になっているのです。
今回はIoT時代の工場に潜むリスクや、IoT機器をセキュリティリスクから防ぐ手段を学ぶとともに、新しい時代のセキュリティ基準をご紹介いたします。
工場内でも進むIoT化
現在の工場設備の多くはほとんどが自動化されており、それらを制御するコンピュータである産業用制御機器(ICS)によって生産が行われています。そのコンピュータは設備とネットワークで接続され、さらにはインターネットを経由することで生産拠点と本社との常時接続ができるようになっていることがほとんどです。
もちろん大規模な工場であれば専用回線を引くこともあるでしょうし、大半の企業がVPNなどによってネットワークセキュリティを担保していることでしょう。しかしながら急な成長などによって対策が上手く施されておらず、インターネット回線に直接つながっていたという事例も少なくありません。
さらに、対象は大規模な工場だけではありません。様々な工場で導入されている、ネットワークカメラもIoT機器です。中小企業においては、ネットワークカメラを説明書どおりに設置した結果、そのままインターネットに接続していることがあります。
また、タイムカード機器がネットワークに接続していることも少なくありません。これらの機器も、直接インターネットに接続され、データのやりとりを行っているケースが多くあります。皆さんが考えている以上に、身の回りの機器はインターネットに接続されており、いまやほとんどの機器がIoT機器となっているという事実をしっかりと把握しておく必要があるでしょう。
IoT時代のセキュリティ対象となる機器とは?
ではIoT時代にそのセキュリティリスクをしっかりと考えなければならない機器とはいったい何でしょうか。
単純に考えれば、製作機械を動作させるコンピュータが筆頭にあがります。また、工場内の様子を監視するネットワークカメラも当然対象となるでしょう。そして、GPS等で制御された機器も同様です。産業用GPS利用機器は思っている以上に多く、位置情報だけではなく、GPSの時刻を利用してネットワークに接続された上で動作している機器も少なくありません。さらには、オートロックも場合によってはIoT機器となっています。メインシステムとネットワーク越しに接続され、認証を監視・制御していることがあるのです。
実際に自社の工場や拠点において、ルータ経由でネットワーク機器を検出してみると、想像以上の機器がネットワークに接続されていることに気付くはずです。その機器の一部にでも、もし不正に侵入されたらいったいどのような被害が発生するか。ぜひ考えてみてください。
IoT化で想定されるリスク
このように全ての機器がIoTでつながっている時代に、「それが第三者によって制御されることで発生するリスク」を考えましょう。個別のコンピュータが不正に侵入され、データが抜き取られるといった基本的なセキュリティリスクはもちろんのこと、場合によっては人命を脅かす事態が発生する可能性があります。
これはあくまでデモンストレーションの例ではありますが、2018年11月にトレンドマイクロのイベントにおける「産業用システムの自動化に潜む「安全」へのリスクと脅威とは?」という講演内において、無人クレーンのハッキングによる攻撃の実例が紹介されました。この実例では無人クレーンが遠隔地の第三者によって不正侵入・操作され、つり上げられた荷物が、人にぶつけられる(ことを模した)様子が紹介されました。
こういったテロリズムにつながるような攻撃だけではなく、ウェブカメラなどに不正侵入されるだけでも、「事務所にいつ人がいるのか」「どこにどんなものがおいてあるのか」などの様子を取得されてしまいます。これは情報漏洩の大きなリスクであることは間違いありません。
その他にもIoTデバイスのセキュリティリスクは多種多様です。実際に日本に流通しているIoTデバイスで遠隔操作が可能であったリスクを抱えていた機器を紹介している記事があります。
このようにIoTによる恩恵だけではなく、リスクを踏まえて運用をしなければならない現実が存在しているのです。
セキュリティ面で検討すべき対策とは?
それでは実際にIoT機器を運用していく上でどんな対策に取り組むべきなのでしょうか。
最大のポイントは「知ること」です。セキュリティ担当者が
・「どこにどんな機器があって」
・「何につながっているのか」「どこに情報を保存しているのか」
・「そのデバイスはいつ設置したのか」
といった基本情報を始め、
・ファームウェアのバージョン
・セキュリティパッチの情報
・アップデートの更新情報
などといった、IoT時代にこそ重視しなければならないポイントをどれだけ把握しているか。特に三つ目にあげた「アップデートの更新情報」に関してはIoT機器のサイクルが非常に激しいため、あっという間に更新が途絶えてしまうこともしばしばあります。
メーカーの情報を常にチェックして万全の体制を作るのはもちろんですが、それらがつながっているネットワーク上の出口に監視機器を設置して、アクセス検知やログ収集・調査を行うことは必須です。そもそもの侵入に対する防御を備えておくのはセキュリティ担当者の大切な仕事の一つだと言えるでしょう。
JPCERT/CCが出している「IoTセキュリティチェックリスト」
このように、IoT機器に対するセキュリティリスクの抽出と監視体制の構築は機器によって大きく異なるため、セキュリティ担当者の作業は必然的に大きくなります。そこで役立つのが、JPCERT/CCが公開している、一般的なIoT機器に使用できるセキュリティチェックリストです
このリストは、IoT機器それぞれに適用させるもので、その項目は多岐にわたっています。リストを適用すれば、必要十分なセキュリティ要件を抽出することが可能でしょう。
残念ながら、このチェックリストはある程度のネットワーク知識があるユーザー向けで、セキュリティ担当者が実際に手を動かすことで適用される前提のものになっています。セキュリティ担当者が不在の遠隔地の場合、「誰かに代わりにやってもらう」ということは難しいと言えるでしょう。しかしながらゼロからチェックリストを作成するよりははるかに作業の手間が減りますので、ぜひ活用したいところです。
まとめ IoT時代のリスク管理はセキュリティ担当者が音頭を取れ
企業においてIoT機器は、最早必要不可欠のものとなりつつあります。ネットワークにつながるという利便性はもちろん享受したいところですが、使用する上でのセキュリティ上のリスクなどはしっかりと検討する必要があるでしょう。
かといって、IoT機器のセキュリティだけに目を向けてエンドポイントに対するセキュリティの対策がおろそかになってはなりません。自社のセキュリティポリシーと照らし合わせて最適なIoT環境を整えましょう。