IoTの危うさ
(2023.03.16)
今日はIoT(Internet of Things - モノのインターネット)のセキュリティに関わる話です。
3月16日に総務省で「情報通信ネットワークにおけるサイバーセキュリティ対策分科会(第3回)」が開催されました。この会合は、特にIoT機器を狙ったサイバー攻撃が多く発生している状況等に対応するため、その対策について検討を行うものです。今年1月から開催されていて、今回で3回目となります。
偶然ながら、この分科会開催と同時期に、情報セキュリティの専門家のお話を連日聴く機会があり、あらためてIoTの情報セキュリティの重要性を感じたしだいです。
●ネットワーク・トラブルの恐ろしさ
ネットワークのセキュリティというと、よく不正アクセスとかランサムウェア攻撃の事例がよく取り上げられていて、さまざまな組織内でも注意喚起がおこなわれています。万が一、情報漏洩などが発生したら、その組織の信用は地に墜ちることになり、それこそ組織幹部の首がかかっているというわけです。さらに脅威となっているのは、組織内のネットワークが乗っ取られて、正常な運用ができなくなるケースです。病院や電気・ガスなどのインフラが被害に遭うと、社会的な混乱も大きくなります。海外では石油パイプラインやGPSへの攻撃例も見られるそうです。
情報通信白書(※1)によれば、大規模サイバー攻撃観測網(NICTER)が観測したサイバー攻撃通信がこの3年間で2.4倍に増加しており、そのうちIoTが占める割合が最も大きいそうです。
●監視カメラ、WiFiルーターも危ない
この対策分科会で議論されているのは、IoT機器のセキュリティです。IoTというと組み込み型の物が多く、監視カメラや無線ルーターが代表的なものです。パソコンやサーバーは目につきますが、この種のIoT機器はふだん存在が意識されないものです。また最近は急速にその台数も増えています。パソコン等と違って、この種の機器はいったん導入すると、交換の間隔も長く、セキュリティ設定が甘いままで長らく使うこともあり得ます。それだけによけいにセキュリティ上の「蟻の一穴」になってしまう可能性が大です。
●中小企業における情報セキュリティ
中小企業となると、情報セキュリティ対策に”投資していない”企業が「3割」を占めるという、たいへんお寒い状況です(※2)。その理由として、”必要性を感じていない”、”費用対効果が見えない”、”コストがかかりすぎる”といった回答が多いのも気にかかります。(※2から図を引用。)
●自動車には保険をかけるのに・・・
交通事故と比較してみるとわかりやすいでしょう。交通事故の発生確率はたいへん低いとしても、万が一の場合の損失は莫大です。
2021年の交通事故発生件数は約30万件(※3)、自動車の総数8,207万台(※4)、つまり自動車1台あたりの事故発生はざっくり0.4%くらいです。それでも、自動車に保険をかけないで運転する人は皆無でしょう。
しかし上の中小企業調査では、実際に情報セキュリティ被害に遭ったという回答が実に「5.7%」もあったという結果でした。交通事故よりも情報セキュリティ被害の発生確率は高いにもかかわらず、無策という状況です。これは少し問題ではないでしょうか。
●対策は進みつつあるが・・・
ダークな世界では、ネットワークを攻撃するための情報やツールが共有されて、一つの産業のようになりつつあるようです。さらに背後には国家の影も見え隠れします。実にイヤな世界になりましたが、目を背けるわけにはゆきません。
新しい動きとして、米国では製品に組み込まれているソフトウェア部品の版数情報をすべて記録するS-BOM(Software-Bill-of-Materials)が導入されています。食品に付けられる成分表示と同様、IoT機器の脆弱性も把握しやすくなります。
日本では、中小企業庁が「IT導入補助金制度」の中にセキュリティ対策支援枠を設けて、資金面から後押ししています。
しかし、なんといっても、やはり一番必要なのは経営者の情報セキュリティ意識です。■
※1 総務省「令和4年版情報通信白書」
https://www.soumu.go.jp/johotsusintokei/whitepaper/r04.html
※2 情報処理推進機構「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書
https://www.ipa.go.jp/security/fy2021/reports/sme/index.html
※3 内閣府「令和4年版交通安全白書」
https://www8.cao.go.jp/koutu/taisaku/index-t.html
※4 一般財団法人自動車検査登録情報協会
https://www.airia.or.jp/publish/statistics/ub83el00000000wo-att/hoyuudaisuusuii04.pdf