IoTセキュリティ対策では利用者との密なコミュニケーションが重要に

利用者による万全なセキュリティ対策は期待できない

　また、横浜国大の学内ネットワークに接続されている機器のセキュリティ状態の調査では、261件の脆弱な機器を発見し、うち223件がIoT機器だった（図2）。

図2：横浜国大で実施した大学内ネットワーク調査と注意喚起

　この結果の根本原因について吉岡氏は、「遠隔操作を可能にする『Telnet』が動作している機器の57.1%は、製品マニュアルにTelnetの記載が全くなく、92.9%ではTelnet利用のリスクが説明されていないことにある」とみる。

　利用者へのアンケートでは、Telnetを意図していた利用者は13.6%にとどまった。87％は、ファームウェアを更新していないか更新状態を把握していなかった。「そもそも半数以上の製品でマニュアルにTelnetが記載されていないのだから利用者はTelnetを使えないはずだ。不正アクセスを許す“ドアを開け放している”のは利用者でなくメーカー側と考えるべきだ」と吉岡氏は指摘する。

　これらの現状から吉岡氏は、IoT機器のセキュリティの確保におけるポイントを4つ挙げる。

■ポイント1：利用者に過度のセキュリティ意識を期待してはいけない
　セキュリティ上、重要な判断を利用者に委ねるべきではない。利用上のリスクを利用者に正しく伝え、正しく判断してもらうことが大事である。

■ポイント2：利用者は使い方を間違える
　IoT機器を使用するのが一般人であればなおさらだ。間違いを起こさせない工夫や、間違いが発生する前提でのフェイルセーフな作りが求められる。

■ポイント3：脆弱性を事前に排除することは無理である
　問題が発覚した時に、それを修正する体制を確保し、修正が必要なことを適切に利用者に伝え、修正が適用される術を持つことが重要になる。

■ポイント4：メーカーの適切な周知
　メーカーは脆弱性が判明したにも関わらず、その修正／サポートを実施しないのであれば、製品のライフサイクルを明確にして利用者に適切に周知する必要がある。

ネットにつながるIoT機器同様に利用者ともつながる必要がある

　IoT機器は誰もが利用する。それだけに利用者とのコミュニケーションがますます重要になってくる。具体的には、「利用者が『正しく設定して使用できているのかが簡単に確認できる』『使っている機器がサポート対象なのか確認できる』『重大な脅威が発生していることを知ることができる』などが重要になる（吉岡氏）

　例えば、吉岡氏も参加し、NICT（情報通信研究機構）が2018年から2020年に実施したの「Warp Driveプロジェクト」では、アニメ『攻殻機動隊』に登場するロボット「タチコマ」をモチーフにしたセキュリティエージェントを使い、「Telnetが空いている」「マルウェアに感染している」などの注意喚起を通知した。

　結果、注意喚起から1週間以内に改善率が大きく改善し、注意喚起していない利用者の改善率とは3倍の差があった。しかし、2週間目以降の改善率は25％と頭打ちになってしまった。吉岡氏は、「さらにコミュニケーションを活性化して、注意喚起効果の向上を目指すとともに、家庭内の機器の脆弱性検査やサポート期限の確認機能を実現したい」と述べる。

　その一環として横浜国大では、「am I infected?」というマルウェア感染／脆弱性診断サービスを2022年2月から開始している。Webサイトに必要事項を入力すればセキュリティチェックを受けられるもので、これまでに検査回数は10万回を超え、89人のマルウェア感染と293人の脆弱性を検知した。

　検知した利用者には、問題点の説明と推奨する対策を提示する。だが「27人が対策を試みなかった。その理由を確認したところ、やる気はあっても技術的に困難なケースも多数存在した。ユーザーサポートの充実が課題だ」と吉岡氏は指摘する。

　そのうえで吉岡氏は、「利用者にセキュリティに関する適切な判断を依存するのは難しく、誤った使用を避けるための仕組みを作り込まなければならない。IoT機器はインターネットを通じて世界とつながっており、サポートも同等に利用者とつながっている必要がある」と重ねて強調した。