ＩｏＴの広がりと情報セキュリティリスク

数年前まで IoT はある種のバズワードでしたが、いまではそこまで使われていない言葉かもしれません。

これはIoTがしぼんだのではなく、かなり浸透してきてるためです。

改めてIoT（Internet of Things）について書きます。

IoTは「モノのインターネット」とも呼ばれます。インターネットに接続された様々な物理的なデバイスが相互に通信してデータを交換する技術や概念を指します。

従来、インターネットにつなtがるデバイスは、コンピュータ（PC）やスマートフォンのイメージでした。IoTではさらに多くのデバイスがネットワークに接続されます。IoTデバイスは、センサーやアクチュエーター（動力源と機構部品を組み合わせて、機械的な動作を行う装置）を備えてます。

IoTデバイスとして、よく挙げられるのが、スマートテレビや、センサー付きの家電製品などです。業務用では、工場の制御装置や、医療機器、交通システム、農業機器などがよく知られてます。IoT デバイスは、インターネット経由でデータを送信し、クラウドサーバーなどと通信します。

わたしはchocoZAPを使っているのですが、スマホではいまいる近隣の chocoZAPの混雑状況をリアルで確認することができます。これは、chocoZAPの扉に設置された入館証センサーが、IoTデバイスの役割を果たし、施設内の人数をクラウドサービスに提供する役割を果たしているからです。

ちょっとしたすき間時間に近くにある店舗でエアロバイクに乗ろうと動けるので、IoTが生活の便利さに寄与していることを実感します。

しかしIoTには、セキュリティやプライバシーの問題などの課題も存在します。

IoTデバイスは、物理的なメモリー領域に制限があるので、セキュリティ機能が不十分であったり、古いファームウェアやソフトウェアが実行されているかもしれません。このため、攻撃者がデバイスに不正侵入して制御権を奪ったり、情報を盗む可能性があります。

IoTがバズワード化したのは、数年前ですが、IoTデバイスはもっと古くからあります。オフィスでは90年代から、プリンターはネットワークにつながってましたし、2000年代になると複合機として使われるのも一般的になりました。

複合機は立派なIoTなのですが、職場ではコピー機のイメージが強く、コンピュータとして認識されてません。

実際の複合機はハードディスクが内蔵されてます。そこには印刷文書のイメージや、スキャナー保存された画像データが保管されます。インターネットにつながる複合機は、サイバー攻撃の対象としてうってつけです。コンピュータとして認識されていないので、パスワードが工場出荷のデフォルトのまま使用されていることが多いのも、攻撃をしやすくする要因になります。

情報セキュリティマネジメントの視点で見ると、オフィスにあるパソコンやサーバー類は、情報システム部門が管理するのが一般的です。情報システム部門はネットワークに接続される機器のセキュリティパッチが最新化されているか、不正なログインが発生していないかを監視する役割を持っています。

一方、複合機は過去の経緯から、総務などの非ITの管理部門が管轄することが多いと思います。

管理部門は、「複合機のスキャナーの上に資料が残ったままにしていないか？」「プリンターの印刷トレイに印刷文書が残ったまま放置されいないか？」「複合機のそばにあるごみ箱に機密文書をそのままの状態で捨ててないか？」といった、ソーシャルエンジニアリングに関連したセキュリティ対策に関心を持ちます。しかし、ネットワークから不正侵入するリスクについて、大いなる懸念を持っているわけではありません。

IoTはネットワーク機器ですので、デバイス管理の在り方も変えるべきなのですが、なかなかそうはなりません。

ですので、IoTのセキュリティリスクの本質は、機器の問題というよりも、機器を管理する人間の心理の脆弱性にあるかもしれません。

2020年にIoTのセキュリティの脆弱性として、話題となったのがRipple20です。

Ripple20は、2020年に発見された、IoTデバイスに関連する19個のゼロデイ脆弱性の総称です。

JSOF社や世界中のセキュリティリサーチャーの試算では億単位のIoTデバイスでこの脆弱性が存在するとされています。

Ripple20のCVSS（共通脆弱性評価システム）による脆弱性スコアは以下の通りです。