IoTセキュリティ あいおーてぃーせきゅりてぃ
簡単に言うとこんな感じ!
工場の機械や家の鍵、監視カメラなどがネットにつながると、そこがハッカーの侵入口になるんだ!「IoTセキュリティ」は、そういったモノ(デバイス)をサイバー攻撃から守るための対策のまとめってこと!
IoTセキュリティとは
IoT(Internet of Things=モノのインターネット) とは、センサーや機械・家電・カメラなど、従来はネットワークにつながっていなかったあらゆる「モノ」をインターネットに接続する仕組みのことです。工場の生産設備、ビルの空調・照明、物流の追跡タグ、医療機器など、今やあらゆる場所でIoTデバイスが使われています。
IoTセキュリティ とは、こうしたデバイスやその通信経路・クラウド基盤をサイバー攻撃・不正アクセス・データ漏洩から守るための技術的・運用的な対策の総称です。パソコンやスマホと違い、IoTデバイスはCPU・メモリが非力なものが多く、パスワード変更すら難しいものもあるため、専用の対策が必要 になります。
ビジネスの現場では「スマートファクトリー」「スマートビル」「コネクテッドカー」など、IoTの活用が急速に広がっています。一方で、セキュリティ対策が不十分なデバイスが攻撃の踏み台にされ、大規模なサービス妨害(DDoS攻撃)や機密データの流出が世界中で発生しています。発注・導入の段階でセキュリティ要件を確認することが、今や必須の業務スキルです。
IoTセキュリティの主な脅威と対策
| 脅威の種類 | 具体例 | 主な対策 |
|---|---|---|
| デフォルト認証情報の悪用 | 出荷時のID/パスワードのまま運用 | 初期パスワードの強制変更・デバイス認証 |
| ファームウェアの脆弱性 | 古いOSの脆弱性を突いた侵入 | 定期的なファームウェア更新(OTA) |
| 通信の盗聴・改ざん | センサーデータの傍受・偽装 | TLS/暗号化通信の徹底 |
| 物理的な不正アクセス | デバイスの盗難・差し替え | 耐タンパー設計・デバイス認証 |
| クラウド側の脆弱性 | APIの認証不備によるデータ漏洩 | APIゲートウェイ・アクセス制御 |
| DDoS攻撃の踏み台 | 大量のIoT機器をボット化して攻撃 | 異常通信の検知・ネットワーク分離 |
覚え方:「デフ・ファム・通・物・クラ・ディー」
「デフォルト認証・ファームウェア・通信暗号化・物理対策・クラウド管理・DDoS対策」の頭文字で6大脅威を整理しよう!
IoTデバイスのライフサイクルとセキュリティ
IoTセキュリティは「導入時だけ」ではなく、デバイスの一生を通じて考える必要があります。
[設計・製造] → [導入・設定] → [運用・監視] → [廃棄・交換]
↓ ↓ ↓ ↓
セキュア設計 初期設定変更 異常検知・更新 データ消去
耐タンパー 認証情報管理 ログ監視 デバイス失効歴史と背景
- 2008年頃 — インターネットに接続されるデバイス数が人口を超え「IoT元年」と呼ばれ始める
- 2010年代前半 — スマート家電・スマートメーターの普及が加速。一方でデフォルトパスワードを狙った攻撃が頻発
- 2016年 — Mirai(ミライ)ボットネット事件。デフォルト認証情報のままのIoTカメラ等を大量に乗っ取り、DNSプロバイダーDynへの大規模DDoS攻撃を実行。TwitterやNetflixなど大手サービスが一時停止
- 2018年 — 米国でIoTサイバーセキュリティ改善法(IoT Cybersecurity Improvement Act)が議会に提出
- 2020年 — 日本でも NICT(情報通信研究機構) がNOTICE(国家規模のIoT機器調査・対策)を開始。脆弱なIoT機器を発見し利用者に通知する活動を実施
- 2020年 — 欧州でETSI EN 303 645(家庭用IoTのサイバーセキュリティ規格)が策定
- 2021年 — 米国でIoTサイバーセキュリティ改善法が正式施行。連邦政府調達のIoT機器にNIST基準への準拠を義務化
- 2024年 — EUサイバーレジリエンス法(CRA)が成立。EU市場で販売するIoT製品にセキュリティ要件と脆弱性対応義務を課す
IoTセキュリティのアーキテクチャ:どこを守るか
IoTシステムは「デバイス層・エッジ層・クラウド層」の3層構造で成り立っており、それぞれの層に対策が必要 です。
ゼロトラストとIoTセキュリティ
従来のセキュリティは「社内ネットワークは安全」という前提でしたが、IoTでは工場・店舗・屋外など様々な場所にデバイスが散らばります。そこで注目されるのが ゼロトラスト(Zero Trust) という考え方です。「場所を問わず、すべての通信・デバイスを信頼しない」前提でアクセス制御を行います。IoT環境では、デバイスごとに個別の証明書を発行して認証する デバイス証明書 の活用が推奨されています。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8576 | IoTセキュリティの課題と考慮事項(Security Considerations for the IoT) |
| RFC 9019 | SUIT: IoTデバイス向けファームウェア更新アーキテクチャ |
| RFC 8995 | BRSKI: IoTデバイスの自動ブートストラップ・認証プロトコル |
関連用語
- IoT(モノのインターネット) — あらゆるモノをインターネットに接続する概念・技術の総称
- ゼロトラスト — 「何も信頼しない」前提でアクセス制御を行うセキュリティモデル
- ファームウェア — デバイスのハードウェアを制御する組み込みソフトウェア
- TLS(Transport Layer Security) — インターネット通信を暗号化するプロトコル
- DDoS攻撃 — 大量のトラフィックでサービスを停止させるサイバー攻撃
- エッジコンピューティング — データをクラウドではなくデバイス近傍で処理する技術
- デバイス認証 — ネットワークに接続するデバイスの正当性を確認する仕組み
- 脆弱性管理 — システムのセキュリティ上の弱点を発見・修正する継続的プロセス