ISIT

第四回 脅威に変わるとき

  • セキュリティ
20299485081

IoT機器の脆弱性について把握や対策をどのように行なっていくべきか、第四回では利用者として何をすべきかを考えていきたいと思います。

皆さんのセキュリティを守るためのセキュリティ機器。
例えば、ファイアウォール。
このファイアウォールが、セキュリティの穴となることもあると言われてしまうと、にわかに信じがたいことではないでしょうか?

2016年1月、ルクセンブルクのセキュリティ専門家が、米国セキュリティ企業のセキュリティ製品にこっそりと侵入することができるバックドアの存在を明らかにしました。
この発表に伴い、同セキュリティ企業は、修正のためのプログラムで既に対応済みであるとの発表を行いました。

たしかに、セキュリティ機器にも外部からの不正な侵入を許してしまう脆弱性が存在するということは怖いことです。
そしてもう一つ、この出来事は示唆を与えてくれています。

それは、ハードウェア型のセキュリティ製品、つまり箱型のものであっても、ソフトウェアで動いているということです。
よく考えてみれば当然と思われる方も多いのではないでしょうか。

そして、セキュリティ製品であっても、保守・メンテナンスを行い、中で動いているソフトウェアを最新のものにしなくては、本来の性能を発揮することができません。
また、今回の事例のように不正な侵入さえも許すきっかけを作ることとなってしまいます。

学校に学ぶセキュリティ対策

セキュリティの観点からまず重要なことは、IoT機器をはじめとしたシステムに繋がる機器が適切に管理されていることです。

つまり、システムにどのようなIoT機器や装置などが繋がれているのかを把握すること。
そして、これらに適切な保守がなされており、IoT機器のファームウェアなどのプログラムがリリースされた場合には、随時更新作業を行なっていくことです。

これは学校の出欠確認のようなものかもしれません。

まずは今日出席しているのが誰なのかを把握すること。
そしてお休みしているAくん(IoT機器)がインフルエンザ(脆弱性)で欠席だった場合、薬を飲んで(修正用プログラムでファームウェアの更新)、元気になってから学校に来てもらわないと、そこからセキュリティ侵害を友人たち(システム)に広めてしまう可能性があります。

何故、システムに繋がれているIoT機器や装置を把握する必要があるのかというと、うっかり同じクラスのBくんの存在を忘れてしまっており、そしてこのBくんがインフルエンザになっていることに気付かず出席してしまっていた場合には、このクラスにとって最悪の被害も起こしかねないからです。

まずは、出欠表を作るのと同じように、システムに繋がれているIoT機器や装置を把握しましょう。
そして、これらのIoT機器や装置に対して適切な保守・メンテナンス作業を行いましょう。

具体的には、IoT機器を開発したメーカーのサポートやホームページなどで、最新の修正用プラグラムが配布されていないか確認をすること。
また、JVNと呼ばれる脆弱性対策情報データベースなどを定期的にチェックしていくことは効果的です。

2週間ほど前に、ホームページを管理するソフトウェアに脆弱性が発見され発表されましたが、修正用のプログラムが配布されていたものの、米国セキュリティ会社の調査によると最初の1週間で155万サイトが攻撃され、ホームページの内容が改ざんされてしまいました。

このように、誰かが脆弱性について教えてくれていて、そしてその修正プログラムが存在していたとしても、修正プログラムで更新を行うなどの適切な対応がなされていなければ、瞬く間にサイバー攻撃の被害に遭ってしまいます。

また、米国の業界団体などが策定しているガイドラインを読んでいきますと、「よく訓練された要員も多層防御の一部となる」という意味の記述が多く見受けられます。

セキュリティ対策には、これ一つやっておけば完璧というものは無く、ドアの一つ一つに鍵を取り付けるかのごとく、何層にもほどこされた多層防御でのセキュリティ対策によって一つずつ積み重ね、リスクを下げていくしかないということは多くの場所で語られています。
そして、米国の多くのガイドラインで語られていることは、一人一人がセキュリティ意識を持って携わっていくことも多層防御の一部となり、セキュリティ対策のレベルを高めていくことに繋がるということが述べられています。

今回お話させていただいたことは、非常に簡単なことであり、既に取り組まれている方も多いこととは思います。
しかし、今回敢えてこの内容を取り上げてみたのは、簡単なことの積み重ねが強固なセキュリティ対策への第一歩となるからです。

執筆者

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。 テレビのコメンテーターなどにもアドバイスを行なっている。

セキュリティ特集

  1. 第一回 サイバー犯罪の代理人
  2. 第二回 サイバー世界の武器商人
  3. 第三回 セキュリティ上の欠陥
  4. 第四回 脅威に変わるとき
  5. 第五回 セキュリティ対策がされていない
  6. 第六回 埋められない穴
  7. 第七回 スマート化する世界
  8. 第八回 狙わない理由はない