IoTのセキュリティを考慮するうえで最大のポイントが、これまでインターネットにつながっていなかった機器がインターネットに直結されることだ。ここからは、インターネットに直結されることでIoT機器にどのような脅威が発生するのか、そしてどのような対策が有効なのか、具体的な事例を基に考えていく。

 IoT技術をいち早く導入した分野として、産業制御システム(ICS)がある。制御システム全体でIoT技術を用いるのではなく、図5のように工場のセンサーや工作機械の制御をコンピュータで監視するというものである[参考文献6]。この図を見れば分かるように、本来であれば、情報ネットワークと情報制御ネットワークの間には「エアギャップ」(後述)としてファイアウォール(FW)を設置する。情報ネットワークからの情報制御ネットワーク向きの通信を制限・禁止し、情報制御ネットワーク、さらにその奥にある制御ネットワークがインターネット側からサイバー攻撃を受けないようになっている。

図5●産業制御システム(ICS)の典型例
[画像のクリックで拡大表示]

 しかし、現実には、攻撃メールによりマルウエアを感染させたOA端末から、許可された通信を介して情報制御ネットワークにサイバー攻撃を仕掛けたり、マルウエアに感染したUSBメモリーを情報制御ネットワークに持ち込ませたりすることで、ICSに深刻な被害を与える事例が多数報告されるようになってきている。

 このような状況にあるにもかかわらず、IoT機器の利用では、対策費用が高額になることを嫌って、図5のような多段構成による防御を講じない構築事例が増えつつある。ICSの情報制御ネットワーク部分が一切の保護もなくインターネットにつながっており、管理マシン(Human Machine Interface、HMI)が直接インターネットに接続されている事例が既に見つかっている[参考文献7]。この例では、水力発電所の発電機の制御画面を表示したWindowsのデスクトップ画面がリモートでアクセス可能であり、かつ、非常に甘い認証でアクセスできたのが原因であった。

 さらには、制御ネットワークそのものにインターネットを使うIoT機器の設置事例も見受けられるようになってきた。例えば、米国では、高速道路に設置された電光掲示板の管理に23/TCP(数字はポート番号、TCPはプロトコルの種類)のTelnetを使用し、かつ、安易なIDとパスワードを使用していたことが見つかり、イタズラでインターネット越しにデタラメな掲示に変えられてしまうという事件が発生した[参考文献8]

この先は会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら