IT Topics 2022 topic01 IoT セキュリティ

近年、セキュリティ対策の考え方が、旧来の「境界線型」から「ゼロトラスト型」へとシフトしています。

IIJグローバルでも、ゼロトラストをベースとしたクラウド型ネットワークセキュリティ「Prisma Access」、WEBセキュリティゲートウェイ「Zscaler」、SD-WAN機能とネットワークセキュリティをクラウドで提供する「CatoCloud」などに関する問い合わせが急増しています。これらはいずれも「IT領域」におけるセキュリティ対策になりますが、以下では「IoT領域」のセキュリティについて考えてみたいと思います。

2023年には世界の IoT デバイスが340億台に達すると予想されており、IoT デバイスがサイバー攻撃を受け、企業・社会活動が深刻な被害を被る状況が懸念されています。その理由として、サイバー攻撃の約半数が IoT デバイスをターゲットにしていることが挙げられます。

近年では医療機器や水道システムといった重要インフラが狙われており、2015年の自動車（ジープ・チェロキー）のハッキングや、2016年の Mirai（Bot）による IoT デバイスを踏み台にした大規模な DDoS 攻撃などが社会的インパクトをもたらしました。

デバイスのセキュリティ対策としては、アンチウィルスソフトやID／パスワード認証の導入、VPNによる通信の暗号化などを思い浮かべる方がいらっしゃるかもしれませんが、これらは「IT領域」において「人」（IT管理者・利用者）が運用で行なう対策になります。一方、「IoT 領域」でのセキュリティ対策にこうした運用を適用するのは現実的ではないと言えます。

IoT デバイスのセキュリティ対策としては、「デバイスドメイン」での対応か、「ネットワークドメイン」での対応が考えられます。しかし、IoT デバイスは数が多いうえに、PCに比べてリソースや性能が低く、通信プロトコルも複数あります。そして IoT デバイスは、一度設置されたら長期利用が前提となっており、ID／パスワードは出荷時のままで、ファームウェアも更新されず、そもそもの導入が現場判断によるものが多いため、一元的に管理されていないケースが散見されます。そのため、脆弱性を有するデバイスが多いのが現状です。さらに「IoT領域」は、境界を明確に定義することがむずかしく、運用・コスト面からも多種・大量の IoTデバイスに「IT領域」のセキュリティを適用するのは困難であると言えます。

こうしたことから「IoT 領域」のセキュリティにおいては"デバイスを信頼しない"ことを前提とした「ゼロトラストアプローチ」が重要となり、これに「Security by Design」^*1を加味して対策を講じる必要が生じているのです。

今回IIJグローバルが開発した「IoT トラストサービス™」は、ゼロトラストアプローチに即した「デバイス認証機能」、「ファームウェアの自動更新機能」を備え、人手を介さない運用を実現するプラットフォームサービスであり、ブロックチェーン技術と特許技術を組み合わせたユニークなPKI^*2システムです。本サービスは、IoT デバイスのなかでも「医療・インフラ・車載」など、サイバー攻撃による被害が企業・社会活動に直結する分野・用途から、すでに多くの引き合いをいただいています。

IoT デバイスは、DXを実現する要素として、今後ますます重要になると同時に、セキュリティに対する考え方が絶え間なく変化する領域でもあります。

IIJグローバルはIIJグループの一員として、ネットワーク、クラウド、セキュリティに関する知見をベースに、安心・安全なDXの実現に向けて、「IT」と「IoT」の領域から皆さまをサポートしてまいります。