パソコンやモバイルだけでなく、ネットワークカメラやAIスピーカーなど、あらゆる「モノ」がインターネットにつながるIoT(Internet of Things:モノのインターネット)が進んでいます。 企業にとって新たな価値やイノベーションを生み出すことが期待される反面、サイバー攻撃の脅威も深刻化していくことが考えられます。
IoTによりデバイスが多様化し、働き方が多様化していく中で、企業はどのように社員の利便性を確保しながら、セキュリティを高めていけばよいでしょうか。 IoT時代に求められるセキュリティについて考えてみます。
パソコンやスマートフォンだけでなく、世の中のあらゆる「モノ」がインターネットに接続され、相互にデータ通信や制御などを行うIoT。 総務省の「平成29年版 情報通信白書」によれば、インターネットにつながるモノ(IoTデバイス)の数は、2016年に世界で173億個だったものが、2020年には約300億個まで拡大するとの見通しを示しています。
IoTはドイツ政府が推進する製造業の革新「インダストリー4.0」でも、生産プロセスをデジタル化し、データを活用することでモノづくりの高度化を目指すための考え方として注目を集め、日本でもIoTへの取り組みが進んでいます。
通信機能を備えたセンサーを工場のラインに配置し、生産機器の稼動データから、最適なメンテナンスのタイミングを分析する予兆保守などへの適用が進んでいます。
また、モノづくりの現場だけでなく、通信機能が搭載されたコネクテッドカーによるテレマティクスなどの安全運転状況の管理や、ウエアラブル機器を使った健康管理など、IoTにより、社会の至るところで新たな価値やイノベーションが生み出されようとしています。
これまで製造業は、モノを作り、最終消費者に販売することで価値を提供してきました。 それがIoTにより、販売後の「モノの利用」に関するデータを活用することが可能になります。 人工知能(AI)による自然言語処理や画像認識技術などと組み合わせることで、新たな用途の開発やサービスの提供といった「消費者に提供する価値づくり」の考え方も大きく変わっていくのです。
その一方で、さまざまな「モノ」がインターネットに接続されることで、不正アクセスによるデータの盗み見や機器の乗っ取り、遠隔操作といったサイバー攻撃にさらされるリスクが高まります。
一般的に、企業システムに比べ、「モノ」のセキュリティ対策は万全とは言えません。ネットワークの接続設定が工場出荷時のまま使われているケースもあります。
こうしたリスクが顕在化したのが、2016年に大規模な感染が確認された「Mirai」というマルウエアです。 これは、ネットワークカメラやプリンター、家庭用ルーター、デジタルビデオレコーダなど、Linuxで動作し、ネットワーク接続機能を有したIoTデバイスをターゲットに感染するものです。
2016年には、米国のセキュリティ情報サイトやフランスのインターネット企業など、欧米の複数の企業がMiraiに感染したIoTデバイスによる大規模なDDoS攻撃を受け、ウェブサイトがダウンしました。
ウェブサイトを標的にした攻撃だけでなく、例えば、工場の製造機器の制御システムが不正アクセスされることで、生産ラインが大きな被害を受けることが考えられます。 また、コネクテッドカーが攻撃者に乗っ取られることで、重大な事故を引き起こしかねません。
さらに、企業内のIT環境を見てみると、パソコンやモバイルだけでなく、IoTにより、ルーターやネットワークカメラ、オフィス複合機などにもネットワーク接続機能が備わっていきます。
昨今、労働人口減少を背景に、さらなる従業員の生産性向上を目的にした「働き方改革」に取り組む企業が増えていますが、 ワークスタイルが多様化し、モバイルやクラウドを駆使して外出先で仕事をする機会が増えることで、インターネットと社内ネットワークの境界線がますます多様化しています。
こうした流れはIoTによりさらに加速していき、デバイスやITサービスの多様化によって、ランサムウエアに感染するリスクや、社内ネットワークに不正に侵入され、重要な情報を社外に盗み出される可能性は高まっていきます。 また、社員が会社の管理下にないデバイスやITサービスを勝手に利用する「シャドーIT」によって、リスクがさらに高まることが考えられます。
こうした状況下で、深刻化するサイバー攻撃のリスクを最小限に抑えていくためには、社員のIDと、会社が管理するIoTデバイスの状況を正しく把握し、万一のインシデントに対して迅速な対応を行っていく必要があります。
具体的には、「社員に支給しているパソコン、モバイルは何台あるか」「ネットワーク接続機能を備えた機器はどれくらいあるか」「それらに最新のセキュリティ更新プログラムは適用されているか」 「不正なメールのリンクをクリックした社員はいるか」「影響を受けるデバイスの台数はどれくらいか」という状況を可視化していくことが欠かせません。
IoTによりデバイスが多様化する中で、企業はどのように社員の利便性を確保しながら、セキュリティを両立していけばよいのでしょうか。
まずは、上述したような社員のID管理と認証強化の仕組みを整備することが重要です。会社の中で社員が使うIDを一つに統一し、 誰が、いつ、どのシステムにアクセスしているかについてログを取得、管理できることや、社員のID保護や管理を強化するための認証の仕組みを整備していくことが大事です。
そして、業務に必要な利便性と安全性を両立するために、社員が快適に働けるようなITシステム、ツール類を整備することと併せ、会社が管理する環境を使うように業務ルールを設計、 社員に周知徹底していくことが重要になっていくでしょう。