IoTセキュリティを 成功させる2つのポイント

加速するインターネットとモノの融合

IoTとは、身の回りのあらゆる「モノ」が通信回線やセンサーでつながり、インターネットの一部となること。さまざまなモノがインターネットにつながることで、生活から医療、公共サービスまで幅広い分野で、これまでにないサービスが動き始めています。対応するデバイスは近年増えており、自動運転自動車の実証実験や医療機器への導入なども始まっています。IHS社の推定によると、インターネットにつながるIoTデバイスの数は2013年時点で約158億台、それが2020年までに約500億台まで増えるとみられます。

最近では、制御機器/組込機器においても、情報システム技術の活用が進んでいます。専用システムは、コストダウンや開発のしやすさなどの理由でLinuxや Windowsを用いる汎用システムに置き換わってきていますし、装置の故障予測や生産の歩留まりを上げるために、製造機器から直接インターネット接続を行うケースも増えてきました。つまり、制御システム/組込機器がどんどん情報システム化しており、これまでモノの世界では縁遠かったサイバー攻撃のターゲットになったことを意味します。

IoTをめぐる技術面の課題

インターネットにつながる「世界」が増えれば、サイバー犯罪者もそこにチャンスを見出すものです。インターネットとつながることによって、制御システム/組み込み機器も情報システムと同様のセキュリティ脅威にさらされるようになっています。

2016年のサイバー犯罪をみると、IoTデバイスを悪用したDDoS攻撃が急増しました。最近では、情報システムをターゲットにしているランサムウェア「WannaCry」が工場の制御システムに感染して、生産が停止した事故がありました。また、マカフィーでは、2017年から数年間でセキュリティリスクのあるIoTデバイスが大量に出回る可能性を危惧しています。

2015年 7月

無線システムを通じて自動車をハッキングし遠隔操作
140万台規模のリコールに発展

2016年 2月

医療機器がランサムウェアに感染
電子カルテ、レントゲン、CTなどすべて機能不全に

2016年 9月

14万台以上のWebカメラをハッキング
史上空前のDDoS攻撃が発生

2016年 10月

推定10万台のIoTデバイスを踏み台にしてDDoS攻撃
多くの大手Webサービスに影響

IoTをめぐる運用面の課題

「IoTはじめました」という掛け声だけはよく聞かれるものの、実情はIT部門と製造・開発部門との連携がうまくいかず、なかなか進められていないという話をよく耳にします。技術的な困難さというより、データの機密性の扱いや、外部と接続することによるサイバーセキュリティ上の課題に対して、IT部門と製造・開発部門の認識が合わないことも原因の1つになっています。

インターネットとの接続がなく、専用機器や通信プロトコルを用いた制御システムを用いる製造現場においては、これまでは、安心・安全の確保という視点に基づいて、現場の事情だけで、運用ルールの策定や制御システムの導入を検討することができました。しかし、IoTの活用を進めるとは、すなわち、「システム」において IT(情報技術)とOT(制御技術)の垣根が低くなる、もしくは一体化するということです。このような連携は、技術的には可能であると同時に、「運用」面での連携、すなわち「組織や人」の連携が必要であることを意味します。現場の安全対策・セキュリティ対策も、これまでのIT部門とOT部門での個別最適化ではなく、IT部門とOT部門との連携を考慮した全体最適の考え方が必要となります。

IoTセキュリティに必要な対策とは?

1.ホワイトリストと監視、IT/OT境界防護

制御システム/組込システムには、産業用ロボットのように、暴走すると人に危害を与えるようなものもありますし、生産を止めてしまうと大きな損害となる場合もあります。つまり、セキュリティ対策はなるべく制御システムの「邪魔をしない」ことが求められます。その要件を満たすものとして、現状の代表的なセキュリティ対策は、「ホワイトリスティング」と「ネットワークの異常監視」です。

「ホワイトリスティング」は、端末内で動作するプロセスのうち、正しいものを定義して、それ以外を許さないような仕組みのことです。
「ネットワークの異常監視」は、あくまで「監視」であることがポイントです。ITセキュリティとしては、IPS(侵入防護システム)が一般的となっていますが、これは「防護」ですので、実 際に通信を止めてしまうリスクがあり、可用性を重視する製造現場ではあまり使われていません。

2.OT部門とIT部門との連携

もう1つ重要なのは、OT部門とIT部門との組織連携です。工場がインターネット接続するようになると、情報システムで発生するようなセキュリティ事故が、制御システムでも発生するようになるでしょう。事故が発生した時に、現場の作業員が適切な手順を取らないと、被害が拡大してしまったり、証拠保全ができなかったりといった問題が起きます。

したがって、普段からのセキュリティ教育や、セキュリティ事故が起こったときの手順などで、OT部門とIT部門との組織連携をこれまで以上に強化する必要あります。

IoT セキュリティ関連製品・サービス

マカフィーでは、IoT の活用・普及をサポートする製品・サービスをご用意しています。

McAfee プロフェッショナル サービス

Foundstone のベテランのコンサルタントが、GDPR の対応状況を調査し、セキュリティ プログラムと施行可能なポリシーの設計を支援します 。

詳細を見る >

McAfee Application Control

McAfee Application Control は、サーバー、社内のデスクトップ、専用端末で未承認の実行ファイルをブロックします。

詳細を見る >

McAfee Network Security Platform

McAfee Network Security Platform は、高度脅威に対する組織の防御方法を刷新する次世代の侵入検知システム (IPS) です。

詳細を見る >

McAfee Embedded Control

McAfee Embedded Control は、マルウェア、ハッカー、サイバー犯罪者による攻撃から組み込み機器を保護します。

詳細を見る >

お問い合わせ

IoTセキュリティの方法、価格、技術仕様などについては、弊社までお問い合わせください。

お問い合わせ

無料トライアル

ご利用の環境でMcAfee Embedded Controlをお試しください

無料トライアル