数年前、世界におけるIoTデバイスの台数は2020年までに300億台に到達すると多くの調査会社が予測されていました。そして、総務省が発表した「令和元年版情報通信白書」によれば2018年時点でのIoTデバイス台数実測値は307億1,000万台となり、2020年には394億台に到達すると予測されています。
このような背景からIoTの躍進は、想定した以上のスピードで進んでおり企業や社会にとってなくてはならない存在になったと言えるでしょう。しかし、その一方で広がっている懸念が「IoTデバイスによるセキュリティリスク」です。今までネットワークに接続されることのなかった機器が繋がると、IoTデバイスを狙ったサイバー攻撃が横行するようになります。事実、IoTデバイスを狙ったサイバー攻撃はすでに始まっているのです。
そこで本稿では、IoTデバイスで意識すべき7つのセキュリティ属性をご紹介します。
IoTデバイス、7つのセキュリティ属性とは?
IoTデバイスにおける7つのセキュリティ属性とは、Microsoftが過去にXbox(ゲームコンピュータ)へのサイバー攻撃対策の経験から、IoTデバイスが対応すべきセキュリティ要件を取りまとめたものです。それらをコンセプトにIoTセキュリティを設計することが、サイバー攻撃による深刻な被害を防止・喰い止めることに繋がります。
属性1.Hardware Root of Trust
ハードウェアに証明書を格納しデバイスを認証し、デバイスの偽造やなりすましを防止。
属性2.Defense in Depth
Secure Monitorを信頼のルートとしたファイヤーウォールをもち、許可されていないペリフェラルへのアクセスを拒否。
属性3.Small Trusted Computing
No Account/No Password/No Shellといったように、セキュリティリスクになる余計な機能は持たず、極めて小さいフットプリントに。
属性4.Dynamic Compartment
内部的にいくつかのコンポーネントに分かれていて、他のコンポーネントの障害が他のコンポーネントへ波及しないような実装。
属性5.Certification Based Authentication
Azure IoT HubやAzure Device Provisioning Service(DPS)といったIoTサービスの認証に証明書を利用し、アプリケーショ ンの起動にも証明書によるサインが必要。
属性6.Failure Reporting
デバイス上で発生した障害や操作データをAzure Sphere Security Serviceへレポート。
属性7.Renewable Security
Azure Sphere Security ServiceからOSのアップデートやユーザアプケーションをOTA(Over-the-Air)で配信。
これらのセキュリティに対応することは容易ではありません。しかし、可能にするのがMicrosoft Azure Sphereです。Azure Sphereは7つのセキュリティ属性をOSネイティブにサポートしており、IoTデバイスにおいてセキュリティ対策を意識することなく、アプリケーション開発に集中してデバイスを開発できるようになります。
総務省&NICTの取り組み「NOTICE」
総務省及びNICT(国立研究開発法人情報通信研究機構)はインターネットプロバイダと連携し、サイバー攻撃に悪用される恐れがあるIoTデバイスの調査及び当該デバイスの利用者への注意喚起を行う取り組みを2019年2月20日よりスタートしています。「NOTICE(National Operation Towards IoT Clean Environment/クリーンなIoT環境に向けた全国的な取り組み)」です。
<NOTICEのプロセス>
①デバイス調査
インターネット上のIoT機器に容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査し、当該機器の情報をインターネットプロバイダに通知。
②注意喚起
インターネットプロバイダは、NICTから受け取った情報を元に当該機器の利用者を特定し、電子メールや郵送などにより注意喚起を行う。
③設定変更等
注意喚起を受けた利用者は、注意喚起の内容やNOTICEサポートセンターサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を行うようお願いする。
④ユーザーサポート
総務省が設置するNOTICEサポートセンターにて、ウェブサイトや電話によるお問合せ対応を通じて利用者に適切なセキュリティ対策等をご案内。
参考:NOTICE(https://notice.go.jp/)
さらに、NOTICEがスタートした同年3月1日には「端末設備等規則及び電気通信主任技術者規則」の一部を改正する省令が公表され、電気通信の送受信に係る機能を操作することが可能なデバイスについて、最低限のセキュリティ対策として、以下の機能を具備することを技術基準に追加することが適当との判断がなされています。
- IDとパスワード、証明書による認証機能を有すること。
- 初期パスワードの変更を促す、パスワードは一意であること。
- ソフトウェアを更新できること。
- 停止した場合であっても、アクセス制御に係る設定更新されたソフトウェアを維持できること。
IoTデバイスの開発・運用に関するセキュリティ要件は年々厳しくなっており、しかしそれはIoTにおけるセキュリティリスクを最大限低減するための重要な施策です。
Azure SphereでIoTセキュリティ要件に対応
Azure SphereはIoTデバイス向けのセキュリティソリューションであり、3つのコンポーネントが連携したIoTデバイスのセキュリティを持続的に保護します。それによりIoTデバイスのセキュリティを確保しながら、安心の環境でアプリケーション開発に取り組むことも可能です。
IoTデバイスの利用データ収集やサービスアップデートのプラットフォームとして、FAデバイスの動作状況把握や予兆保全のプラットフォームとして、社会インフラ(監視カメラや交通、ホテル / 住宅の電子鍵など)の制御プラットフォームとしてAzure Sphereは幅広いシーンに適用可能です。IoTデバイスの開発やビジネス活用では、セキュリティ要件をクリアするためにAzure Sphereをご検討ください。
