日々、セキュリティに関するニュースを目にします。
情報システムは完全に社会に浸透していて、システムなしには成り立たないでしょう。
もちろん様々な対策をしながらセキュリティを担保しているわけですが、
どれだけ頑張っていても、大きな穴があっては意味がありません。
弱いところを狙うのが鉄則
「弱い部位を狙う」というのは、セキュリティを突破する時の基本でもあります。
従来はサーバ、PCを守るといったところが主眼でしたが、昨今は利便性を求めて様々な機器がネットワーク対応してきています。
そうした機器が、サーバやPCと同等のセキュリティレベルに達しているか・・・というと、難しいのが現状ではないでしょうか。
IoT機器は弱くなりがち
IoT機器、いわゆる「スマートXX」のような、ネットワークに接続できるタイプの機器のことです。
Alexaのようなスマートスピーカーもそうですし、スマートTV、スマートロックなどもそうですね。
このように、日常で使うような様々な機器がネットワーク対応してきているわけです。
しかし、機器によっては(スペックの問題もあり)なかなかセキュリティレベルを上げられない、そもそもコスト面で難しい、セキュリティレベルを上げると利用者が使うための(設定などの)ハードルが上がる、といった問題もはらんでいます。
接続用のアカウントやパスワードが一般的な初期値のまま、といったケースもありますよね。
こうした状況もあり、経産省が認定制度を新設するようです。
IoTは物理層との接点でもある
いわゆるPCのような機器とは違い、IoTは物理的な操作を伴うことも多いです。
モータを制御して物理的に何かに影響を与えたりできるわけです。
スマートロックだと、扉のカギが開けられるわけですね。
産業用機器だと、人にダメージを与えるようなコントロールもできるでしょう。
こうしたコントロールが悪意を持つ人間に乗っ取られたとしたら、恐ろしいことになるのは想像に易いですよね。
踏み台にされる恐れも
また、そもそもIoT自身のコントロールだけではなく、IoTを経由して社内ネットワークに侵入する、といったこともありえます。
簡易的なIoT機器として、ラズベリーパイのようなコンピューターボードを使うこともあると思います。
ラズパイなどはシステム的には高機能であるが故に、不正ログインされてしまうとネットワーク内部に敵が侵入したようなものです。
甚大な被害になる可能性もありますね。
対策は・・・
IoT機器の場合、利用者があまり細かな設定はできず、対策を打つというのが難しいケースも多いです。
そうした場合、できることはネットワークの制御です。
例えば、以下のような対策はしやすいのではないでしょうか。
- インターネットに接続しない環境で利用する
- 不用意にWiFiを飛ばさない(物理的な接続口を減らす)
- 社内の重要な情報と同じネットワーク上に配置しない
ネットワーク経由で操作できると便利なのは間違いないですが、犯罪者にとっても便利である点を忘れてはいけませんね。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
