- Column
- IoTが求めるモノのアイデンティティ管理とOTセキュリティ
DXの進展で深まるIoT/OT領域のセキュリティ課題【第4回】
前回は、DX(デジタルトランスフォーメーション)の促進に伴うIoT(Internet of Things:モノのインターネット)/OT(Operational Technology:制御技術)領域の現状を解説した。その潜在的かつ広範な攻撃対象領域が攻撃者に狙われやすくなってきていること、実際に攻撃された場合の影響度の深刻さ、それらの攻撃や影響を回避するための規制やガイドラインについてだ。今回は、IoT/OTにおけるセキュリティ面での課題について考察していく。
DX(デジタルトランスフォーメーション)の促進とテクノロジーの進化などにより、利用者やデバイス、分散されたネットワークの間で、ユビキタス(いつでも、どこででも)な相互接続性が拡大している。エコシステムとも呼ばれる、そうした環境では、従来のサイロ化されたセキュリティ施策では、攻撃を防げなくなってきている。
攻撃者は、組織が何千、何万ものIoT(Internet of Things:モノのインターネット)デバイスやOT(Operational Technology:制御技術)デバイス監視する仕組みを持っていない場合が多いことを認識している。そんなIoT/OTデバイスを踏み台として利用し、組織が保有するリソースへの足掛かりを得ることで、データの流出やビジネスの妨害といった悪意を持った攻撃につなげている。
そのような攻撃の多くは、IoTに関してはサイバーセキュリティリスクを増大させるだけだが、OTの場合、ライフラインを司るインフラに影響が及ぶことにより、生命を脅かす脅威になる可能性がある。以下、IoTとOTの各カテゴリーに特有の課題について深掘りしていく。
IoTデバイスにおけるセキュリティの課題
現代では、あらゆるものがインターネットに接続されている。広域に設置されている数千・数万もの監視カメラ、数千のホテルに設置された数万台のドアロックなどもインターネットに接続されている。それらは攻撃者にとっては脆弱だと言える。すなわち、IoTデバイスが増えれば増えるほど、攻撃ベクトルも拡大し続ける。
一般的に、これらIoTデバイスのパスワードは初期設定値のままか、非常に脆弱、つまり簡単に予測できてしまうため、攻撃者はIoTデバイスまたはネットワークを簡単に悪用し組織のリソースにアクセスできる。多数のIoTデバイス導入時は、ファームウェアの更新やセキュリティを維持するための機能が組み込まれていない。大規模になるほど脆弱性に対するパッチ適用が遅れる可能性がある。
組織には数千、数十万というIoT デバイスが存在するケースが多い。潜在的な脆弱性から保護するためとはいえ、アクセス資格情報の適切な管理、定期的なローテーション、最新パッチを適用し続けることは大きな負担になる。
攻撃者はターゲットにする組織への偵察活動にIoTデバイスを利用する。セキュリティが十分保護されていないIoTデバイス、つまりパスワードが初期設定値のままで利用されているプリンターやカメラなどにアクセスし、そのIoTデバイス中に潜み、周囲を探索しながら他のデバイスなどに移動しながら、アクセス権限を昇格させ、組織のネットワークにさらに侵入していく。
セキュリティの観点から最も脆弱性が懸念されるIoTデバイスには、カードリーダーやプリンター、カメラなどがある。
カードリーダー :カードリーダーには、さまざまなタイプがあり、さまざまな場所に設置されている。特殊なタイプの1つにホテルのカードキーのためにドアに設置されるカードリーダーがある。ホテルのカードリーダーおよび、そのバックアップ用電源はこれまで、攻撃者が従業員を締め出すため、主には、それが可能であることを証明するためだけに攻撃されてきたが、攻撃者を建物に侵入させるために使われる可能性もある。
プリンター :Wi-Fiやブルートゥース経由でインターネットに接続されっぱなしになっていることが多く、これまでも攻撃者が組織へ侵入するための足がかりとして利用されてきた。
カメラ :最近の企業ではカメラが至る所に設置されている。カメラのネットワークが侵害されれば、社員の誰かが画面に入力しているパスワード、オフィスのレイアウト、オフィスへの出入り時刻などの機密情報が漏洩する可能性がある。同様に会議室に設置されているビデオ会議システムなども考慮しなければならない。攻撃者によってスキャン、アクセスされ、機密性の高い会議を盗聴・録画される可能性がある。