IoTセキュリティとは？対策方法・接続時などの運用ルール・機器のことも解説

「IoTのセキュリティ対策はどのように行えば良いのだろう」

「そもそもIoTとは何を指し、どのような技術なのか」

IoTの導入を検討中だが、セキュリティ面で不安がある方も多いのではないでしょうか。IoTにおけるセキュリティとは、インターネットに接続された『モノ』や各種デバイスを、外部の攻撃から守るために行う対策のことです。利用状況やシステムにもよりますが、基本的には以下3つを守る行為を指します。

• 転送データ
• システム
• 機器（デバイス本体）

いまや、ネットワークに繋がるモノはすべてセキュリティ対策が必須です。IoTは複数の機器やネットワークにつながっています。そのため、強固なセキュリティを備えなければ、被害は機器全体ひいてはシステム全体に及ぶかもしれません。

 そこで本記事では、IoTセキュリティの定義・IoTセキュリティガイドラインの内容・よくある質問まで詳しく解説します。IoTセキュリティの対策を行う際のポイントを把握したいと考えている方は、ぜひご参考ください。

 IoTセキュリティとは？定義を解説

まずはIoTセキュリティの基本情報から解説いたします。

• IoTセキュリティの定義は？
• そもそもIoTとは？

IoTセキュリティの定義は？

IoTセキュリティとは、インターネットに接続している各種デバイス・ネットワークそのものを悪意ある攻撃や脅威から守ることです。インターネットに接続された『モノ』は、そのままではさまざまな脅威にさらされるリスクがあるため、セキュリティ対策は必須と言えるでしょう。

さらされる脅威としては、以下の例が挙げられます。

2016年には、Mirai（ミライ）と呼ばれるウイルスに感染したIoT機器が、ある米国企業のDNSサーバへの大規模なDDoS攻撃に悪用され、その影響で数多くのサイトが数時間にわたって断続的にアクセスできなくなってしまいました。Miraiは亜種が確認されており、現在も感染活動を続けています。

引用元：警視庁｜ボットネット対策（2024年1月25日）

 DDoS攻撃とは、複数のコンピューターから大量のデータを送り込む方法です。膨大なデータによってサービスの提供主（ホスト）に負荷がかかり、処理が追い付かなくなったサイトやサーバーは、正常なサービスを提供できなくなるでしょう。

 攻撃する側では、このような攻撃をする際に、自身のコンピューターを特定されないよう、関係ないサイトなどを経由する（踏み台にする）ことがあります。この際にIoT機器が狙われるかもしれません。被害者にならないために、さらには悪意なき加害者にならないためにもIoTセキュリティは必須です。

そもそもIoTとは？

IoTとはさまざまなモノをインターネットとつなぐことを指し、国内では『モノのインターネット』とも呼ばれます。IoTが開発される前まで、インターネットがつながるのは基本的にコンピューター同士に限られました。パソコンとパソコン、サーバーとパソコンなどが代表的な例でしょう。

しかし現在では、さまざまなデバイスとインターネットがつなげられるようになりました。なお『モノのインターネット』で使われる『モノ・デバイス』とは、あらゆるモノを指します。生活に関する具体例に、以下が挙げられます。

• インターネット上のコンテンツを視聴できるテレビ
• スマホなどを介して、外出先から操作できるエアコン
• 家の門扉を施錠できるスマートロック
• 要介護者・ペットの様子を遠隔で見る見守りカメラ

また産業・ビジネスでは以下の例があります。

• 製造工場で利用されるアームなど各種ロボット
• 工作機械のIoT化による自動生産管理

IoTの意味がイマイチ理解できていなかった方でも、実際に利用したことや、話を聞いたことはあるかもしれません。IoT技術は多くのシーンで利用されています。

IoTに関する詳細は以下の記事をご参考ください。

IoTとはモノのインターネットのこと！仕組み・実現できること・導入事例を解説

IoTにおけるセキュリティ対策の主な対象

対策が必要とされる主な対象として、以下の3つが挙げられます。

• 転送データ
• システム
• 機器（デバイス本体） 

転送データ

1つ目は転送データです。サーバーなどに転送する際、IoTデバイスが計測したデータそのものが盗まれるかもしれません。

例えば産業用IoTデバイスは、生産データや機械の状態を監視し、それを中央の制御システムに送信します。このデータが攻撃者によって途中で改ざんされたり、外から遠隔で窃取されると、企業の機密情報が漏洩するおそれがあります。場合によっては社員のプライバシー・顧客に関する産業上の情報など重要情報が流出するかもしれません。

したがって通信そのもののセキュリティや、転送先ストレージの堅牢さも必要になるでしょう。対策としては、データを暗号化するのが一般的です。具体的な対策方法は後述していますので、ご参考ください。

システム

システムもセキュリティ対策の対象です。ここで言うシステムとは主に以下を指します。

• ネットワーク
• ソフトウェア
• アプリケーション

 例えばスマートホーム環境では、照明暖房・セキュリティカメラなどがインターネットに接続されており、ソフトウェアやスマホアプリを介して制御されます。システム内の一部アプリケーションが不正にアクセスされると、そこを起点に家全体のセキュリティが危険にさらされ、時にプライバシーが侵害されるかもしれません。ここで大切になることは、セキュリティシステムを常に最新に保つことです。IoTを運用するシステムが、適切なアップデートができているかの確認も重要になるでしょう。

運用しているIoTシステムが複数ある場合は、各種システムがどのような経路でつながっているかも併せて把握しておかなければなりません。調べてみると「必要ないシステムがインターネットにつながっていた」ことも考えられるでしょう。把握していないシステムが外部とつながれば、外部から攻撃を受ける原因になり得ます。

まずはシステムの相関図や、外部ネットワークにつながっているシステムを逐一洗い出しましょう。

機器（デバイス本体）

3つ目は、機器（デバイス本体）です。機器のセキュリティレベルが不十分だと、危険かもしれません。

わかりやすく例を挙げれば車のスマートキーが挙げられます。スマートキーを起点とするトラブルの1つに、リレーアタックが取り上げられることがあります。

リレーアタックとは、自動車のスマートキーから常に出ている微弱電波を特殊な機器で受信・増幅させ、リレーのように繋いで自動車の鍵を開ける盗難手口です。

引用元：警視庁｜「自動車盗、車上ねらい」の防犯対策（2024年1月25日）

この事件からわかるように、機器・デバイス本体の脆弱性は致命的な欠陥ともなりかねません。IoTのセキュリティ対策を行う際には、利用しようと考えている機器自体のセキュリティ対策も重要です。

機器を守る主なセキュリティ対策には以下の方法があります。

• 物理的保護
• ファームウェアの定期的な更新

 物理的な保護とは、文字通りIoT機器自体を保護することです。攻撃対象の領域を狭めるため、利用しないIoT機器の電源を落とす、ネットワークの接続を切る、機器ごと覆うことを指します。

 ファームウェアの定期的な更新とは、基本ソフト・パスワードやセキュリティソフトの更新を指します。特にパスワードは1度変更すると、長期にわたってそのまま利用しがちなため注意が必要です。定期的に変更することで、脅威を遠ざけられるでしょう。

リスク対策の基本！IoTセキュリティガイドライン

IoTセキュリティガイドラインとは、企業がIoT機器を利用する際に必要とされるセキュリティを解説したガイドのことです。ここでは、そのIoTセキュリティガイドラインを以下5つの項目に分けて解説します。

• 方針
• 分析
• 設計
• 構築・接続
• 運用・保守

方針

IoTセキュリティガイドラインでは、初めに以下2点をすべきとされています。

要点 1.経営者が IoT セキュリティにコミットする
要点 2.内部不正やミスに備える

 引用元：IoT 推進コンソーシアム 総務省 経済産業省｜IoT セキュリティガイドラインver 1.0｜13ページ目（2024年1月25日）

まずIoTのセキュリティ対策は、IoTの責任者が指導するのではなく、経営者が率先して行う必要があるとされています。そもそもIoTのセキュリティリスクは『モノ』に密接に関係するため、問題が起こった際に企業へのダメージが大きくなると考えられます。例えば自動車のIoTシステムが乗っ取られた場合、ハンドルやブレーキなどの操作ができなくなる可能性が挙げられます。運転中にシステムが奪われてしまえば、運転手や同乗者の健康被害どころか、場合によっては命にかかわる危険も起こり得るでしょう。問題が大きくなるほど、責任を取ることは難しくなります。そのため、提供主の経営者が十分なセキュリティ対策を備えることにコミットする必要があります。

またIoTのセキュリティリスクは、外部ばかりではなく内部不正やミスなども考えられます。IoTの仕組みを熟知する内部からの不正も問題が大きくなりがちです。そのため、ユーザー権限の監視・管理など、事前に対策を考えておく必要があるでしょう。

分析

IoTセキュリティガイドラインでは、続いてIoTのリスクを認識するために必要な分析を行います。取り組むべきとされる要点は以下の5つです。

要点 3.守るべきものを特定する
要点 4.つながることによるリスクを想定する
要点 5.つながりで波及するリスクを想定する
要点 6.物理的なリスクを認識する
要点 7.過去の事例に学ぶ 

引用元：IoT 推進コンソーシアム 総務省 経済産業省｜IoT セキュリティガイドラインver 1.0｜17ページ目（2024年1月25日）

まずはIoTにつながる前、従来の機器に備えるべき守る対象を特定します。暖房器具などには、地震の際に自動で機能を停止するなど、元々ユーザーを守るために備えられていた機能があります。このような機能が、守る対象に該当すると言えるでしょう。またIoTが攻撃を受けた際に、個人情報・仕様書などの知的財産も守る対象に含まれます。分析の段階では、まず機器・情報の面から守る対象を洗いだしましょう。

 守るべきもの（対象）が特定できれば、波及するリスクを想定します。インターネットにつながることによって、どのようなリスクが考えられるのかを想定しましょう。

 他にも物理的なリスクとして、盗難などに遭った機器による不正行為も考えられます。社内からの持ち出しがなくとも、機器の廃棄管理も徹底していなければ、情報を取り出されてしまうおそれもあるでしょう。

 なお、社内だけでは考えが浮かばない場合の方法が、最後の『過去の事例に学ぶ』ことです。攻撃事例・対策事例を確認することで、社内だけでは思いつかなかった方法を知ることができるでしょう。『警察庁｜サイバー空間をめぐる脅威の情勢等』などを確認されることをおすすめします。

設計

IoTセキュリティガイドラインでは、守るべきものがわかった後は、設計を行います。

要点 8.個々でも全体でも守れる設計をする
要点 9.つながる相手に迷惑をかけない設計をする
要点 10.安全安心を実現する設計の整合性をとる
要点 11.不特定の相手とつなげられても安全安心を確保できる設計をする
要点 12.安全安心を実現する設計の検証・評価を行う

引用元：IoT 推進コンソーシアム 総務省 経済産業省｜IoT セキュリティガイドラインver 1.0｜27ページ目（2024年1月25日）

まとめると、現場に導入するIoT機器は、個々のセキュリティレベルを高くしていることが大前提で運用すべきである、ということになります。各IoT機器のセキュリティレベルが低いことが主因でシステム全体もウィルスに感染する可能性が高まるためです。対策としては上位機種を採用する、またはセキュリティが低い機器を監視できるシステムを予めシステム内に組み込むなどが考えられます。

そしてIoT機器は外部インターネットとつながることも多くあります。不特定の相手とつながることを考え、導入したIoT単体のセキュリティレベルを高めるとともに、他の機能とつながった際の安全性も考慮しましょう。これらの対策方法は後述します。

最後の要点12は、設計されたIoTの仕組みやつながりが実際に安全なのか、検証・評価します。メーカー側が公表する検証・評価がありますが、現場で動かしてみると思わぬ点から改善が必要となるケースもあります。現場へ導入する際には企業側でも検証・評価が必要です。確認すべき点がわからない場合は、事業者に相談されることをおすすめします。

構築・接続

続いて実際にネットワークに接続する段階についてです。ネットワーク上での対策を考えるにあたり、IoTセキュリティガイドラインでは、以下の4点が挙げられています。

要点 13. 機器等がどのような状態かを把握し、記録する機能を設ける
要点 14. 機能及び用途に応じて適切にネットワーク接続する
要点 15 初期設定に留意する
要点 16. 認証機能を導入する 

引用元：IoT 推進コンソーシアム 総務省 経済産業省｜IoT セキュリティガイドラインver 1.0｜38ページ目（2024年1月25日） 

IoTセキュリティガイドラインでは、インターネットへの接続時に、機器がどのような状態になっているのかを記録すべきと提言しています。このような機能が導入予定のIoT機器に備わっているかを、必ず確認します。

次に、ネットワークに接続します。接続の要不要を正しく反映して接続しましょう。接続先の確認方法は後述します。

その後は、パスワードを設定します。機器やシステムの初期パスワードは、簡単なものに設定されていることがあります。そのままのパスワードでは、外部から攻撃を受けた際にあっさりと破られてしまうおそれがあるでしょう。うっかり忘れていた、変更せずに放置していたなどがないよう注意が必要です。

また、正規のIoT機器へのなりすまし防止になる、認証機能の適用も進められています。機器自体の認証はもちろん、カメラ機能のあるIoT機器であれば、社員の顔認証なども可能です。顔認証・指紋認証は利用者の負担を軽減しつつ、より高いレベルのセキュリティを実現できます。

 運用・保守

最後に運用・保守について必要な対策を行っていきましょう。IoTセキュリティガイドラインでは、次のような要点があるとされています。

 要点 17. 出荷・リリース後も安全安心な状態を維持する
要点 18. 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
要点 19. つながることによるリスクを一般利用者に知ってもらう
要点 20. IoT システム・サービスにおける関係者の役割を認識する
要点 21. 脆弱な機器を把握し、適切に注意喚起を行う

引用元：IoT 推進コンソーシアム 総務省 経済産業省｜IoT セキュリティガイドラインver 1.0｜45ページ目（2024年1月25日）

 運用を始めた後も、セキュリティレベルが保つ必要があります。機能はもちろん、セキュリティも常に最新の状態になるよう努めておきましょう。

 また運用責任者だけではなく、IoT関係者全員にリスクの理解と守るべきルールを周知します。関係者すべてがセキュリティに関する知識を備えることで、より安全性が高い組織的な運用を維持することができるでしょう。

 要点19は、IoT機器を利用し、ユーザーにサービスを提供する際に必要な対策です。一般利用者にIoTサービスを提供するのであれば、必須のステップになります。ここでの重要な点は、一般ユーザーに理解できる説明になっているか否かです。可能な限り一般的な言葉を用いて、専門用語を使う際には必ず注釈を入れましょう。

 同時に、IoT機器を実際に運用・管理する関係者それぞれの役割も認識しなければなりません。セキュリティを管理する人だけではなく、メンテナンスを担う従業員や、日々の業務でIoTを実際に使う従業員などです。それぞれがIoTシステムに自身がどのように関わるのかを認識することで、施すべきセキュリティ対策を理解できます。定期的にミーティングを行い、確認するのが良いでしょう。

 最後は、IoTシステムで使われている機器の中に、脆弱性が高いものがないかを改めて確認します。運用前の最終チェックとして、一連のシステムの中に脆弱性のある機器がないかを確認しましょう。

 送信前にチェックすべき点

データ送信前のチェック点として以下3つが挙げられます。

 その通信（接続）先は正しいか？

• 送信中に他者に盗み見されていないか？
• 送信したデータは改変されていないか？ 

その通信（接続）先は正しいか？

1つ目にチェックすべき点は、データの送信先が正しいか否かです。接続先を誤る、もしくは偽装されてしまうとデータが盗まれるかもしれません。

通信先が正しいかどうかを確認する方法として、通信先のIPアドレスやドメイン名を確認するのがおすすめです。正しいIPアドレスか、通信先のドメインが正当な組織によって登録・管理されているかどうかを確認できます。場合によっては、Whois情報を確認するのも良いでしょう。

送信中に他者に盗み見されていないか？

送信中のデータが盗み見されていないかも重要なチェックポイントです。仮に送信先が正しくても送信データが盗み見されてしまえば、企業の重要な情報が盗まれる、または個人情報が流出してしまうことが考えられます。送信中のデータについてもしっかりと保護することが重要です。

 送信データの保護における一般的な対策方法は『データの暗号化』が挙げられます。暗号化することで、データの盗み見を防止することが可能です。TLS（Transport Layer Security）やSSL（Secure Sockets Layer）などの暗号化プロトコルを使用すると良いでしょう。この辺りは専門知識が必要になるため、事業者に相談してみてください。

 送信したデータは改変されていないか？

送信したデータが改ざんされていないかも要確認です。誤った情報に基づいて重要な決定が行われるかもしれないからです。

 例えばスマートホームのセキュリティシステムが、『セキュリティシステムをオフにするコマンド』を送信したとします。しかし攻撃者がこのコマンドを傍受し、『セキュリティシステムをオンにするコマンド』に改変するかもしれません。そのような状態になると、セキュリティシステムが意図せずアクティブ化され、実際には安全な状況なのに警報が鳴ってしまうおそれがあります。送信データの改変を防ぐことは、システムの信頼性・安全性・全体的な機能性を保証する上で極めて重要です。

情報の改ざんに対する対策としては、データにデジタル署名を付けることが挙げられます。デジタル署名とはその名の通り、データに対する電子的な署名のことです。現実世界でいう印鑑や署名のような役割を持ち、対象データが本物であることを証明するために使われます。データが途中で改変されていないことを確認する際に役立つでしょう。

 IoTセキュリティにてよくある質問を解説

最後にIoTセキュリティにて、よくある質問を解説します。

• IoTセキュリティに関するその他ガイドラインはどこで見れますか？
• IoT機器の代表例を教えてください

 IoTセキュリティに関するその他ガイドラインはどこで見れますか？

『総務省｜中小企業のサイバーセキュリティ対策』のページで、以下3つのガイドラインを閲覧できます。

•  IoT機器を開発する中小企業向け製品セキュリティ対策ガイド（PDF）
• IoT機器を開発する中小企業向け製品セキュリティ対策ガイド概要版（PDF）
• IoT機器を開発する中小企業向け製品セキュリティ対策ガイド経営者向け概要版（PDF）

例えば『IoT機器を開発する中小企業向け製品セキュリティ対策ガイド（PDF）』は、1つ1つの情報は簡潔になっていますが、その代わりに周辺情報をチェックできます。一度ご参考ください。

 IoT機器の代表例を教えてください

IoT機器の代表例として以下が挙げられます。

これらのIoT機器は、私たちの生活を便利にし、効率化を促進すると同時に、健康管理やエネルギー使用の最適化にも貢献しています。もちろんセキュリティには注意が必要です。 

まとめ

IoTセキュリティについて解説いたしました。ビジネスはもちろん日常でも身近になっているIoTは、未来に向けてさらに需要が高まっていく技術といえるでしょう。

そして需要が高まるからこそ、万が一に備えるセキュリティはとても重要です。その際はIoTセキュリティガイドラインを中心に対策しましょう。ある程度までセキュリティリスクを低減できます。

しかしIoTのセキュリティは複雑でアップデートもしていく必要があります。自社だけでセキュリティレベルを高めるのは難しいケースもあるでしょう。そのような際は、ぜひ当社にご相談ください。