/ IoTセキュリティとは
IoTセキュリティとは
IoTセキュリティとは、モノのインターネット デバイス(カメラ、ATM、プリンターなどのコネクテッド デバイス)とそれらが利用するネットワークを保護するために導入された対策とテクノロジーを指します。世界中の組織がモノのインターネット デバイスを幅広く利用しているにもかかわらず、多くのIoTデバイスはサイバーセキュリティを考慮した設計にはなっていません。その結果、脆弱性が生まれ、組織は重大なセキュリティ リスクにさらされる可能性があります。
IoTデバイスとは
IoTデバイスとは、インターネットに接続し、データを収集して送信できるデバイスのことです。これには、製造、医療、小売などの業界で幅広く使用されている膨大な数の産業用機械、センサー、スマート デバイスなども含まれます。IoTデバイスは、データの収集と統合、自動化と時間節約対策による効率性の向上、リモートでの監視と操作の実行で組織を支援します。
モノのインターネットのメリットとデメリット
IoTデバイスは、あらゆる組織に次のようなメリットをもたらします。
- リアルタイムのデータとインサイト:IoTデバイスは、リアルタイム データを収集して分析することで、組織が情報に基づいた意思決定を行うのに役立ちます。
- 効率性と生産性の向上:データの収集と処理が自動化されるため、従業員は他の重要な業務に集中できます。
- コスト削減と収益向上:意思決定の強化、時間の節約、生産性の改善が可能になり、支出を削減して収益を向上させることができます。
しかし、ビジネスの観点から次のような懸念もあります。
- セキュリティとプライバシーのリスク:IoTデバイスに組み込まれたセキュリティは十分ではない場合が多く、また、他の手段で保護したり、アップデートしたりすることも簡単ではありません。こうした状況にもかかわらず、IoTデバイスは大量のデータを処理して保存しています。
- 進まない標準化:IoTデバイスは多種多様なプロトコル、オペレーティング システム、コード言語、ハードウェアを利用しているため、セキュリティが複雑になり、他のシステムとの互換性に問題が生じる可能性があります。
- 可視性の課題:ネットワーク上のIoTデバイスの大部分がIT部門に把握されていない可能性があります。これがシャドーITとして知られる問題です。組織が効果的に監視できていない場合、こうしたデバイスは簡単には検出できません。
IoTは多くのメリットを実現する一方、セキュリティ リスクを増大させる恐れもあります。この事実を理解して、防御を強化するための最善の方法を把握しておく必要があります。
IoTセキュリティが重要な理由
大量のIoTデバイスが企業ネットワークと通信するようになったことで、組織の攻撃対象領域は拡大の一途をたどっています。こうしたデバイスのほとんどはIT部門の管理をすり抜けています。同時に、ハッカーは新たな攻撃ベクトルを利用して侵略的で巧妙なサイバー攻撃を仕掛けています。
ハイブリッド ワークの普及によって、オフィスで作業する従業員は減少傾向にありますが、IoTデバイスはネットワークに接続されたままとなっています。デジタル サイネージやネットワーク プリンターなどはデータを更新し、機能を実行し、コマンドを待機し続けるため、セキュリティ侵害を受ける可能性があります。
IoTのセキュリティやポリシーを十分整備できている組織はほとんどありません。しかし、効果的なゼロトラスト アーキテクチャーとポリシーを実装すれば、どんな組織でもIoTのセキュリティ態勢を改善できます。
Statistaによると、世界のIoTデバイスの数は2023年には190億台を突破し、2030年まで毎年20億台増加すると予測されています。
IoTセキュリティが必要な業界とは
簡単に言えば、IoTシステムを使用する組織はIoTセキュリティ ソリューションに投資する必要があります。当然のことながら、攻撃を受けるリスクが最も高いのはインターネットに接続されたテクノロジーを最大限活用している組織です。具体的には、テクノロジー、製造、小売/卸売、医療の業界で、これらの業界を標的としたIoT攻撃が98%にものぼることがZscalerの調査で明らかになっています。
IoTセキュリティの仕組み
安全なIoTエコシステムを維持するには、デバイス自体のセキュリティに加え、デバイスが接続するネットワーク、データの保存と分析を行うクラウド、クラウド サービスのセキュリティを考慮する必要があります。IoTセキュリティ全体を強化する代表的な対策をいくつか見てみましょう。
IoTセキュリティの種類
IoTセキュリティは、いくつかのカテゴリーに分けて考えることができます。
- デバイスのセキュリティ対策は、安全なブート手順を確保することでデバイスをサイバー攻撃から保護します。具体的には、脆弱性のパッチ適用等安全なファームウェアのアップデートを確実に行い、安全な通信プロトコル(TLS/SSL等)を利用します。多くのデバイスのセキュリティ対策には、組織のIT部門が行うデバイスのメンテナンス、更新、監視等のデバイス管理も必要です。
- ネットワークのセキュリティ対策は、デバイスやネットワークへの不正アクセスをブロックするファイアウォール、データがユーザーとデータ センター間のインターネットを通過する際にデータを暗号化するVPN、サイバー攻撃を検出して防止する侵入防止システム(IPS)、分散型サービス拒否攻撃を阻止するDDoSセキュリティ等が挙げられます。
- クラウドのセキュリティ対策には、データ ストレージの保護、アクセス制御、暗号化などが含まれます。多くのIoTデバイスは収集したデータをクラウドに保存するため、データを適切な場所に保管するための強力なセキュリティ、暗号化、認証が不可欠です。
もう1つの対策は、IoTセキュリティだけに限定されるものではありませんが、IoTデバイスを保護するうえで重要な鍵となるものです。それは、許可されたユーザーとデバイスのみがIoTデータにアクセスできるようにする、アイデンティティーとアクセスの強力な管理です。
IoTセキュリティの主な課題
デジタル トランスフォーメーションを成功させるうえで、IoTデバイスは大きな役割を果たします。そのため、世界中で急速かつ広範囲に普及していますが、残念ながらその性質上、重大なセキュリティ上の課題を生み出す恐れもあります。
IoTデバイスには十分なセキュリティ対策が実装されておらず、多くのデバイスは独自の保護機能をほとんど備えていません。これには次のような理由が考えられます。
- 多くのデバイスにはメモリーと処理能力に制限があるため、ファイアウォールや暗号化などのセキュリティ対策を簡単に実装できない。¹
- 工場出荷時のデフォルトのログイン認証情報は脆弱である場合が多く、攻撃者に簡単に破られる可能性が高い。この点が見落とされると、重大な脆弱性につながる。
- 古いデバイスに対するベンダーのサポートが十分でないと、ファームウェアやソフトウェアでセキュリティの重要なアップデートが遅れる可能性があり、デバイスにパッチを適用できない場合がある。
- デバイス全体の標準化が困難という新しいテクノロジーに共通する課題により、1つのセキュリティ ソリューションですべてのIoTを保護できない場合がある。
IoTデバイスはデバイス自体のセキュリティ以外に、セキュリティと運用にも次のような問題を生じさせる可能性があります。
- デバイスはネットワークやクラウドだけでなく、デバイス同士で通信するため、新しい攻撃ベクトルが多く発生する。
- IoTデバイスからのデータ流入に関する問題が拡大したことで、既存のITインフラとセキュリティ インフラに過大な負担をかける可能性がある。
- 個人情報や知的財産などのデータの収集に関するプライバシーの懸念があり、特にどのようなデータが収集され、どのように使用されるのかが明確ではない場合、この懸念が強い。
IoTセキュリティの主な脅威
IoTデバイスにより、組織はランサムウェア、データ侵害、DNSトンネリングなどの戦術に対して脆弱になる可能性がありますが、IoTを悪用する脅威の圧倒的多数はボットネット マルウェアです。
ボットネットは攻撃者の制御下にあるデバイスのネットワークであり、大規模な協調攻撃を実行します。これまでもDDoS攻撃、金銭的侵害、クリプトマイニング、標的型侵入などに利用されてきました。
DDos攻撃に利用されるIoTデバイス
DDoS攻撃では、ボットネットが標的のWebサーバーまたはネットワークに対し、正規のリクエストを処理できなくなるほどの大量のトラフィックを送信します。IoTデバイスは前述のセキュリティ上のデメリットがあり、インターネット経由で簡単にアクセスできるため、ボットネットの増殖を狙う攻撃者にとって格好の標的となっています。攻撃者は侵害した大量のIoTデバイスを用いて、準備の整っていないサーバーを大混乱に陥れます。
IoTデバイスは、Amazon、Reddit、Visaなどのサービスを妨害した2016年のMiraiボットネット攻撃など、史上最大のDDoS攻撃の一部に悪用されています。
IoTセキュリティのベスト プラクティス
機密データとアプリケーションを脅威から守るには、IoTデバイスが攻撃の侵入口とならないようなアクセス ポリシーを設定することが重要です。次のようなベスト プラクティスが推奨されます。
- ネットワーク デバイスを追跡して管理する。組織が管理対象外のIoTデバイスを許可している場合、エンドポイント エージェントだけでは完全な可視性を得られません。ネットワーク上で通信するデバイスを特定してその機能を把握し、防御をすり抜ける可能性のある暗号化された通信を検査できるソリューションが求められます。
- デフォルトのパスワードを変更する。工場出荷時の認証情報を使い続けると、攻撃者にデバイスを悪用されるリスクが高まります。未承認のIoTデバイスではパスワードを管理できない場合がありますが、管理対象のIoTにおいては、パスワードの変更は最初の基本ステップです。また、従業員が職場に持ち込むデバイスについてのセキュリティ トレーニングの一環としても、これを行う必要があります。
- 最新のパッチとアップデートを適用する。特に製造や医療などの業界は、日々のワークフローの中でIoTデバイスを活用しています。これらの承認済みのデバイスについては、新たに確認された脆弱性に関する最新情報を常に把握し、最新のデバイス セキュリティを維持します。
- ゼロトラスト セキュリティ アーキテクチャーを実装する。暗黙の信頼のポリシーを排除し、動的なアイデンティティーベースの認証で機密データへのアクセスを細かく制御します。また、インターネット アクセスを必要とする未承認のIoTデバイスとの間のトラフィックをすべて検査し、プロキシを介してすべての企業データからそれらのデバイスをブロックします。ゼロトラストは、未承認のIoTデバイスがネットワークの脅威となることを阻止する唯一の効果的な方法です。
ZscalerでIoTのセキュリティを確保
IoTはイノベーションを起こす可能性を大いに秘めていますが、同時にリスクも増大させます。そのメリットを最大限に活かし、リスクを最小限に抑えるには、IoTのセキュリティを徹底する必要があります。Zscaler Privileged Remote Accessは現場や工場フロアなど、どこからでもIoT (インダストリアルIoTなど)および運用技術(OT)資産に高速で安全に直接アクセスできるようにします。
業界唯一のゼロトラストベースのIoT、IIoT、OT向けアクセス ソリューションであるZscaler Privileged Remote Accessにより、リモート ワーカーやサードパーティー ベンダーは機密性の高いプライベート アプリ、リモート デスクトップ、運用システムへのクライアントレス アクセスが可能になります。管理対象外のデバイスにクライアントをインストールしたり、ジャンプ ホストやVPNにログインしたりする必要はありません。このソリューションは、次のようなメリットを実現します。
- 稼働時間と生産性の向上:インラインのゼロトラスト セキュリティによる直接接続は、機器への接続や修理のスピードを加速させ、ダウンタイムを最小限に抑えます。従来のVPNやPAM製品を介した低速でコストのかかるバックホールは一切発生しません。
- 人とシステムの安全性の向上:インサイドアウト接続によって、OTネットワークとシステムがインターネットから見えなくなるため、生産プロセスを混乱させようとする悪意のある人物に資産が発見されたり、悪用されたりすることはありません。
- 卓越したユーザー エクスペリエンス:Webブラウザーからクライアントレスでアクセスできるため、リモート ワーカーだけでなく、サードパーティーのベンダーや請負業者も従来のVPNのような煩わしさを感じることなく、OTシステムに簡単にアクセスできます。
統合プラットフォームは、プライベート アプリやワークロード、IoT/OTデバイスにまで安全なゼロトラスト アクセスを拡張し、複数のリモート アクセス ツールを集約してセキュリティとアクセス ポリシーを統合することで、複雑さを軽減し、侵害を阻止します。