東京ビッグサイトで2016年10月19日から21日まで開催されている「ITpro EXPO 2016」の講演で、日本ネットワークセキュリティ協会IoTセキュリティWGに所属する日立ソリューションズの武田一城氏は、IoT(インターネット・オブ・シングズ)機器がサイバー攻撃を受けやすい実態を紹介した。セキュリティ面で脆弱なIoT機器がサイバー攻撃の対象となっているためだ。IoT機器の普及に伴い、被害が拡大する恐れがあるという。そうした背景から、日本ネットワークセキュリティ協会では消費者向けIoT機器のセキュリティ対策をまとめたガイドラインを作成し、注意を促している。

日本ネットワークセキュリティ協会IoTセキュリティWGに所属する日立ソリューションズの武田一城氏
[画像のクリックで拡大表示]

 武田氏によれば、そもそも従来のIT分野でさえ、セキュリティ対策が十分に進んでいない現状があるという。IT分野のセキュリティでは、サーバーやPCなどのセキュリティ知識はもちろん、ITやビジネスの知識も必要になる。武田氏によれば、日本を含む世界中でこうした知識を備えた人材や対策資金は不足傾向にあるという。IoTでは、対策しなければならない対象の範囲がさらに組み込み系の分野まで広がる。

 世界中で2020年までにIoT機器の数は200億個に達するという予測がある。デバイスの急増に伴い、デバイス管理が追いつかなくなる恐れがある。例えば自動車や工作機械などの制御ができなくなったり、収集するデータの信頼性が低下したりといった問題が考えられる。

 さらにIoT機器を踏み台にして、他のシステムへサイバー攻撃を仕掛ける事例も確認されているという。例として、横浜国立大学が2016年8月に発表した、ハニーポット(ダミーの攻撃対象)を使ったセキュリティ研究の成果を紹介。半年間ハニーポットを設置して攻撃者の特徴を観察した結果、区別できただけでも約60万台の機器から攻撃を受けていたという。この研究によりIoT機器が攻撃の踏み台になっている実態や、機器の製造時や試験などで利用するTelnet(通信プロトコル)が悪用されていたことが判明した。

 こうした背景から、日本ネットワークセキュリティ協会では消費者向けIoT機器のセキュリティ対策をまとめたガイドラインを作成したという。同ガイドラインは、IoTの概要からセキュリティの現状、IoT機器ベンダーの配慮すべき項目、IoT利用を想定したユーザーの対策まで広く網羅している。