あらゆるモノに情報漏えいのリスクが? IoTセキュリティで気をつけるべき3つのポイント
2020年、あらゆるモノがインターネットでつながるようになる?
IoT(モノのインターネット)の登場により、あらゆるモノが従来よりも快適に使えるようになってきています。
Cisco IBSG(Internet Business Solutions Group)の調査によると、2015年末までにインターネットにつながるデバイス数はおよそ250億台、2020年には500億台にまで膨れ上がることが予測されています。PCやスマートフォン、タブレットなど、はじめから情報を扱うことを想定していた製品以外のモノまで、インターネットにつながる世界が到来しつつあるのです。
スマートフォンのセキュリティ管理にさえ不安があるのに、これ以上管理するべきデバイスが増えたら、心配で夜も眠れなくなりそう……。そう思う方も多いかと思います。逆に、ハッカーたちにとっては楽しくて眠れない世界が待っているのかもしれません。
というのも、いままではPCとスマホしか攻撃をする対象がなかったのに、これからは時計や玄関の鍵など、他人の実生活の領域で悪事を働くことができるようになるからです。
今回は、増えつつあるIoTとの快適な付き合い方と、ハッカーたちから身を守る術を紹介していきます。
<目次>
IoTで日常生活はこう変わる!
・オンライン鍵管理システム『Akerun』
・落し物追跡タグ『mamorio』
・天気を知らせる傘立て『Umbrella stand』
・ホームセキュリティが手軽に『Secual』
・気分に合わせて照明の色を変えられる『hue』
・電気使用量が一目瞭然『でんき家計簿』
IoTを安全に使うには? おさえておきたいセキュリティ3つのポイント
・1.IoTに対する政府や業界の取り組みが進むのを待つ
・2.セキュリティ対策のとれた製品を使う
・3.セキュリティに配慮しつつ製品を使う
IoTで日常生活はこう変わる!
500億台のデバイスがつながる世界では、どのような生活が待っているのでしょうか。2015年10月時点でサービス開始が決定しているIoTを見てみましょう。
オンライン鍵管理システム『Akerun』
2015年4月23日にフォトシンスが発売を開始した『Akerun』は、スマートフォンを鍵として使用できるようにするサービスです。多様なドアのサムターンに取り付けることができ、Bluetoothを使って鍵の解錠と施錠をすることができます。
落し物追跡タグ『mamorio』
『mamorio』は持ち物の紛失を防ぐ追跡タグです。株式会社落し物ドットコムが2014年からクラウドファンディングで支援者を募集しており、製品は近日出荷される予定です。タグをつけた持ち物から一定の距離を離れると、スマートフォンがユーザーにアラートを発信。紛失防止のサポートをしてくれます。
天気を知らせる傘立て『Umbrella stand』
http://www.au.kddi.com/information/topic/auwallet/20150825-01.html
『Umbrella stand』は外出前に傘が必要かどうかを知らせてくれるサービスで、2015年10月下旬からKDDIが運営を開始します。専用アプリの『Mono Manager』と連携することで、『Umbrella stand』が天気予報に合わせて傘が必要かどうかLEDの色で伝えてくれます。
ホームセキュリティが手軽に『Secual』
『Secual』は窓やドアからの侵入を検知し、スマホに通知が届くサービスです。2015年10月現在クラウドファンディングサイト『makuake』で注文すると2016年2月中に製品が配送されます。
気分に合わせて照明の色を変えられる『hue』
http://www2.meethue.com/ja-jp/
2013年9月から株式会社フィリップス エレクトロニクス ジャパンから販売されている『hue』。スマートフォンで操作できるLED照明です。約1677万色の中から好みの光色を選ぶことができ、スマートフォンによる操作で室内を自在に演出することができる製品です。
電気使用量が一目瞭然『でんき家計簿』
http://www.tepco.co.jp/kakeibo/index-j.html
『でんき家計簿』はスマートメーターを利用したサービスです。2015年7月1日から、東京電力が都内で運営を開始しました。このサービスを使えばスマートメーターで計測した30分単位の電力使用量をWebサイトで簡単に確認することができます。
まだまだ未熟なIoTのセキュリティ事情
IoTによって生活が便利になる分、「ハッキングされたときに大きな被害が出るのではないか」と感じた方もいらっしゃると思います。IoTにおけるセキュリティ管理はどうなっているのでしょうか。
ヒューレットパッカード株式会社が2014年に実施したIoTのセキュリティ調査報告によれば、調査対象製品の70%にセキュリティ上の問題が見つかっています。具体的には、「1234」といった強度の低いパスワードを設定できる点などが挙げられています。
1年経った2015年現在も、その傾向は変わっていません。IoT製品自体がまだまだ成熟しておらず、セキュリティが脆弱な製品が多数存在しています。
さらに、具体的な事例を見てみると、さきほどご紹介したPhilipsのLED電球『hue』については、操作をしようとするデバイスが不正なユーザーかどうかを確認するための仕組みに懸念点があると報告されています。
理由は、『hue』がユーザー確認のための暗証番号を作成する際に、端末固有値であるMacアドレスを使っていることです。このMacアドレスを盗むことが技術的に可能なため、不正なユーザーが、盗んだMacアドレスを使って暗証番号を作ることができてしまうのです。
不正なユーザーは、『hue』にアクセスすることで照明の利用状況から、住人の生活パターンや在宅・不在時間を知ることができます。こういった情報漏えいの危険性は、今後IoTデバイスが増えるとともに増加することが予想されます。
IoTを安全に使うには? おさえておきたいセキュリティ3つのポイント
IoT製品を快適にかつ安全に利用するにはどうすれば良いのでしょうか。
実施すべき対策は3つあります。
1.IoTに対する政府や業界の取り組みが進むのを待つ
2.セキュリティ対策のとれた製品を使う
3.セキュリティに配慮しつつ製品を使う
1.IoTに対する政府や業界の取り組みが進むのを待つ
2015年度から日本政府のサイバーセキュリティ新体制が始動しており「サイバーセキュリティ戦略」にて、IoTのセキュリティ整備に取り組んでいます。政府は2020年のオリンピックを成功させるためには、安全なIoTシステムは必要不可欠だと論じており、「セキュリティ・バイ・デザイン」という考えのもと、サービスごとに最適なセキュリティをデザインするよう働きかけています。
しかし、アンチウィルスソフトが普及しているスマートフォンでさえハッキング被害があとを断たないことを考えると、IoT製品の使用者はセキュリティへの意識をさらに高めることが求められているといえるでしょう。
2.セキュリティ対策のとれた製品を使う
▷M2M標準化団体に加盟している企業のサービスを利用する
スマートデバイス同士がつながることを「M2M」(マシンツーマシン)といいます。そのM2Mプラットフォームの国際的な標準化団体として「oneM2M」があります。
oneM2Mでは、住宅向けエネルギー監理システム「HEMS」(ヘムス)のユースケースにおいて要求条件の整理を進めています。この中にはセキュリティに関して議論をするワーキンググループもあり、セキュリティ要件についての整理が進められています。
このように今後のサービスに必要なセキュリティ対策を整理する団体に加盟している IoTサービス提供企業は、セキュリティ対策に積極的に取り組んでいることが期待 されますので、参考にしてみてはいかがでしょうか。ちなみに、oneM2Mには、NTTドコモ・KDDI・NEC・富士通などが参加しています。
▷第三者機関による監査がおこなわれている企業のサービスを利用する
セキュリティに特化した第三者機関が、サービス提供企業やサービスそのものに危険性がないかを確認しているかも重要なポイントです。
たとえば、プライバシーマークを提示している企業は、第三者機関から個人情報の取り扱いについての監査を定期的に受けています。
IoTの中には個人情報を企業へ提示する必要があるサービスもありますので、チェックしておくとよいでしょう。プライバシーマークの詳細についてはこちらをご参照ください。
▷サービスの運用実績を確認してから利用する
スタートアップ企業が開始したIoTサービスはニュースでよく取り上げられています。しかしそれらの企業は、斬新なアイデアとスピード感のあるビジネスを展開している一方で、セキュリティの観点が欠けている可能性があります。
魅力的なスタートアップ企業であっても、取り扱っている製品のサービス期間とサービス運用実績をチェックしてから利用するしましょう。定量的な指標はありませんが、組み込みセキュリティ技術に特化した企業との連携や、セキュリティ技術者の有無という項目でも製品やサービスの比較をするといいでしょう。
3.セキュリティに配慮して製品を使う
▷強固なパスワードを使用する
「1234」といったパスワードはハックしてくださいと言わんばかりです。そもそも、このようなパスワードを設定できる時点で、その製品はセキュリティへの配慮が足りないと言えます。パスワードは数字・大文字・小文字を混ぜ入れて作成し、他と異なるものを設定しましょう。
最近では、EvernoteやGoogleへログインする際に2段階認証を使用している方も多いのではないでしょうか。できれば、2段階認証を利用し、通常の認証で使うユーザ名/パスワードに加え、事前に配布されたハードウェアにだけ送られる暗証番号を使って認証をすることがおすすめです。
▷IoTデバイスに不要な情報は入れない
スマートフォンとIoTデバイスを連携させる際に、よく使われるのがアプリです。アプリは必ずGoogleやAppleなどの公式サイトからダウンロードできるものだけを使用しましょう。例えば、「Enesoluty」という名前のウィルスが組み込まれたアプリは、Googleの公式サイトではなくメールにてアプリが配布され、3700万人分のメールアドレスが抜き取られたという事例があります。特に、Android端末を使用されている方は[提供元不明のアプリ〕の項目にて、アプリのインストールを許可するチェックが入っていないことをご確認ください。
参考:電話帳を抜き取る不正なAndroidアプリ「Enesoluty」摘発
▷デバイスを失くさないこと
IoTデバイスの中にはウェアラブルな製品が多くあります。そこで出てくるのが紛失リスク。紛失した場合はその端末に入っている情報を吸い出される可能性もありますし、さらにはその端末から別の端末へアクセスされる危険性もあります。失くしてしまった場合には、画面ロックや記憶領域を暗号化する対策が実施できるのか、事前に確認しておきましょう。
まとめ
IoT製品を扱う際には、スマートフォンを利用するとき以上にセキュリティに配慮することが必要です。
「あれ、そもそも私のiPhoneってちゃんとセキュリティ対策できているかな?」と思った方はぜひ、こちらをチェックしてみてください。紛失した際にリスクを抑える方法が記載されています。
それでは、セキュリティに十分配慮して便利なIoTの世界を楽しみましょう。
aki(あき)ネットワークエンジニア 大手Nierでネットワークエンジニアとして最前線で戦う傍ら、個人運営のサイト「ネットワークエンジニアを目指して」を運営し、読者を「ネットワークトラブルに恐れることなく立ち向かえるネットワークエンジニア」へと導くことを信条に、ネットワーク技術の解説と自身のノウハウを広めている。著書に「見てわかるTCP/IP」など。 Twitter:ibook