2016年5月、IPA(立行政法人 情報処理推進機構)が「IoT開発におけるセキュリティ設計の手引き」という文書を公開しました。
IoTはご存知の通り、人間が使用するPCやスマートフォンなどの端末ではない、“モノ”がインターネットにつながって情報交換する仕組みのことです。現在は、センサー自体がネットワークにつながってデータを収集してストレージへ送り続ける続けるようなシステムを指していることが多いですね。
このIoT、ネットワークを利用する仕組みなので当然多くのセキュリティ上のリスクが存在します。加えて、IoT特有の事情として、センサーは野外に置かれていることがあり物理的に不正利用されやすい(サイドチャネル攻撃といいます。これについては別の記事を参照。)という点があったり、使用しているセンサーやネットワーク機器に脆弱性が発見されたときに、どこに何を設置しているか把握できなくなりがちで対策を徹底できない可能性がある点、たとえ把握していても遠隔地に設置した物は無線通信速度の遅さが原因でセキュリティパッチが適用できないということもあり、情報セキュリティ事故が発生する可能性は通常のシステムより高いと言えます。
ただし、センサーから取得したデータなどを盗聴されても一つ一つのデータ自体はあまり価値があるものでもないので機密性より可用性の方が大事だという考え方が一般的です。
「IoT開発におけるセキュリティ設計の手引き」の中では、「ヘルスケア機器とクラウドサービス」のように具体例を挙げながらIoTのセキュリティについて解説しています。IoT自体がまだまだ発展途上の分野で経験のある事業者も少なく、セキュリティにまで気が回りにくいです。
IoTで何かしようと考えている事業者や関連する商品やサービスを提供するベンダーのエンジニアは一読しておいたほうが良いかもしれません。下記のURLからダウンロードすることができます。
https://www.ipa.go.jp/security/iot/iotguide.html