IoT時代におけるセキュリティの重要性――増加するセキュリティインシデントとその対策とは

（SB C&S株式会社 ICT事業本部 ICT事業戦略・技術本部技術統括部テクニカルマーケティングセンタービジネス開発課竹石渡氏、同社ICT事業本部 ICT事業戦略・技術本部技術統括部第3技術部1課鵜重翔一氏）

IoTの概念が登場して約20年が経ち、現代ではスマートフォンやクラウド環境の進歩に伴い、センサーを搭載したエッジデバイスから家電、自動車など、これまでインターネットに接続されていなかった様々なモノを通して膨大なデータがやり取りされるようになっています。IoTデバイスの増加によって生活の利便性が高まる一方で、これまでとは異なるセキュリティの課題も指摘されるようになってきました。
今回は、IoTデバイスに関連するリスクとセキュリティの重要性について、ご紹介します。SB C&S株式会社 ICT事業本部 ICT事業戦略・技術本部技術統括部テクニカルマーケティングセンタービジネス開発課の竹石渡さん、同社ICT事業本部 ICT事業戦略・技術本部技術統括部第3技術部1課鵜重翔一さんにお話を伺いました。（執筆：後藤銀河、撮影：編集部）

――初めに、御社の事業内容についてご紹介いだけますか？

［竹石氏］弊社はITディストリビューターとして、法人向け並びにコンシューマ向けに様々なIT商材を販売しています。私の所属部門は主に法人向けのIT商材の販売を担当しており、PCやサーバー、ネットワーク機器、セキュリティ機器など、合計40万点以上の商材を扱っています。セキュリティ回りや、それこそ今回のテーマであるネットワーク、エンドポイント、クラウドのセキュリティ機器も扱っていますし、最近はゼロトラスト（※1）、SASE（※2）などのキーワードに基づいて、お客様に提案できるように製品を揃えています。

（※1）すべてのトラフィックを信頼しないことを前提として、検査、ログ取得を行うという、性悪説のアプローチ
（※2）「Secure Access Service Edge」の略称で、2019年8月にGartnerが公開した「The Future of Network Security Is in the Cloud」で新しく定義されたネットワークセキュリティモデル

IoT機器の拡大とセキュリティインシデントの増加

――今回のテーマはIoTセキュリティですが、大企業のシステムがサイバー攻撃を受けた、個人情報など秘匿度の高い情報が流出したというニュースは、相変わらず耳にします。こうした問題は以前からありましたが、IoT機器の拡大に伴って状況がどんどん悪化しているということなのでしょうか？

［竹石氏］近年はDX（デジタルトランスフォーメーション）の推進によって、様々なモノがデジタル化されてネットワークにつながるようになりました。それにより利便性が増す一方で、攻撃者観点では今までハッキングできなかったような機密性の高い情報まで、様々な機器やネットワークを通じてハッキングできるようになり、企業に対するサイバー攻撃も激化してきています。

それに、以前はハッキングで入手した情報をダークウェブ（※3）などのマーケットに流して現金化する必要がありましたが、最近では攻撃手段としてランサムウェア（感染するとシステムやリソースを使えなくし、身代金を要求するマルウェア）を使って金銭を直接要求するなど、容易にマネタイズできる状況があることも、サイバー攻撃の増加に拍車をかけています。

（※3）通常のブラウザではアクセスできないWebサイト。日本においては「闇サイト」などと訳される。

従来の「セキュリティは必要最小限、何かあったら強化すればいい」という考え方は、IoT時代には通用しなくなってきているという。

――具体的に、IoT機器に対するサイバー攻撃の実例には、どのようなものがあるのでしょうか？

［鵜重氏］よくIoT機器の被害の例として出てくるのが、ネットワークに接続されている世界中の防犯カメラの中をハッキングし、リアルタイムで公開しているWEBサイトがあったりします。IoT機器はインターネットに接続することを最優先の目的としているため、セキュリティを考慮していない場合が多いです。先ほどの防犯カメラの例ですとそもそも認証が施されていなかったり、パスワードがデフォルトのまま使用されていたりなどの理由で、IPアドレスさえ分かってしまえば権限を取得することは容易です。また乗っ取った大量のIoT機器を利用してDDoS攻撃（※4）を仕掛けたりなども行われております。

（※4）Distributed Denial of Service：複数のデバイスから同時に大量の負荷を攻撃目標のWebサイトなどに与え、サービスを停止させるもの

――具体的に、IoT機器を保護する製品などはあるのでしょうか。

［鵜重氏］弊社では4年前に「Zingbox(※5)」というIoTネットワークのセキュリティ製品を取り扱い、提案活動を行ってきました。

実際にこの製品の導入を検討しているいくつかのお客様先で、PoC（※6）をすると、IoT機器の通常の挙動と乖離した通信がかなり見つかりました…。ただ、費用対効果の部分で納得いただけず、お客様には導入いただけないことも当時は多かったです。セキュリティが大事だと認識はしてもらえたのですが、実際に被害が伴わないとピンとこないのだと思います。
ただ現状を可視化してもらうことで、IoTセキュリティの必要性を認識はしてもらえたので、セキュリティ市場の啓蒙へと繋げることはできたと自負しています。

（※5）Zingboxは現在Palo Alto Networksに買収されている
（※6）Proof of Conceptの略で、概念実証の意味

［竹石氏］例えて言うと、大金を投じて名ゴールキーパーと契約しても、一度も試合にでなければその価値が分からない感じなのかもしれません（笑）

［鵜重氏］当時はまだMaaSや自動運転も遠い未来の話でしたし、IoTセキュリティにそこまでお金をかけるお客様も多くなかったのです。

――セキュリティ製品導入以外でIoT機器のセキュリティを考える際に重要なことはありますか？

［竹石氏］「シフトレフト」という考え方です。シフトレフトという言葉自体は開発の工程が左から右へ流れるとすると、より早い段階でテストすることで手戻りの発生を防ぎ、開発の迅速性や品質を上げようという考え方です。その考え方をセキュリティにも適用することで、後付けではない本質的なセキュリティを施すことができます。特にIoT機器のセキュリティとなると後付けで施すにも限界があるので、デバイスの設計段階からセキュリティを考えていく必要があります。

――ハードウェアエンジニアとしては、具体的にどうすればよいのでしょうか？

［竹石氏］セキュリティはソフト面だけでなく、もちろんハード面も必要になります。ただ、ハードウェア開発の段階からセキュリティを組み込むと言っても、実際には相当難しいことです。技術的なことももちろん必要ですが、まず、開発エンジニアにとって製品を動かすことが最重要で、そこにセキュリティの意識をさらに加えるためには、従来のモノづくりの考え方や業務の優先度、ある意味これまでの文化を変えるような必要がありますから。

「セキュリティを経営課題として捉える」流れ

［竹石氏］ここまでIoTのセキュリティについて言及してきましたが、最後にセキュリティ全般のお話をしますと多くの企業では、これまで「セキュリティはコストだ」という考え方が一般的でした。これは、セキュリティに投資しても売り上げがあがるなどの直接的なメリットがなかったからで、「何かあったときのために、とりあえず対策をしておこう」「うちは狙われないから大丈夫」という認識の企業もあったように感じます。

ところが、最近はセキュリティ対策を「経営課題」として捉える企業が増えてきました。その要因は、万が一にでもサイバー攻撃にあってしまうと事業の継続性に関わるほどの被害が出る可能性があるからなのはもちろん、セキュリティに投資をすることでリスクを低減するだけでなく、セキュリティ対策をちゃんとしている企業という良いブランディングにもつながり、長期的に利益があるとの判断をしているからです。特にSNSの普及により一度風評被害を受けてしまうとなかなか信頼を取り戻すことはできませんので。
DXを実現する上でIoTは重要な要素の１つですが、そのセキュリティも重要項目として捉え取り組んでいく必要があります。

竹石渡（SB C&S株式会社 ICT 事業本部 ICT事業戦略・技術本部技術統括部テクニカルマーケティングセンタービジネス開発課）
2013年、新卒でSB C&S株式会社へ入社。セキュリティ製品のプリセールスエンジニアとして案件支援やセミナー登壇、プロダクトの性能検証などに従事。2018 年からはビジネス開発を担当、クラウドセキュリティ、DevOps、データマネジメントのキーワードで技術トレンド調査、新規プロダクト取り扱い、GTM 策定、案件支援などに従事。セキュリティの上位資格「CISSP」を保有。

鵜重翔一（SB C&S株式会社 ICT事業本部 ICT事業戦略・技術本部技術統括部第3技術部 1課）
2008年に同社へ入社。前職では計装設計に従事し、現職でセキュリティ製品のプリセールスSEを担当。

IoT時代におけるセキュリティの重要性――増加するセキュリティインシデントとその対策とは