IoT機器のセキュリティ脆弱性を防ぐ資産管理とパッチ適用のあり方

　「IoT（Internet of Things：モノのインターネット）機器は、その中身が見えにくいため『ITの闇』とも言われる。既に判明している脆弱性についてもパッチの適用が徹底されておらず、危険な状態を残存させてしまっているのが現実だ」――。エイチシーエル・ジャパンでHCLSoftwareの代表／カントリーマネージャーを務める大野 洋一 氏（写真1）は、こう指摘する。

　エイチシーエル・ジャパンは、インドの大手 IT企業であるHCL Technologiesの日本法人。主に SI（システムインテグレーション）事業を手掛けるが、2019年には米 IBMから複数のソフトウェア製品を買収し、HCLSoftware部門として事業展開している。クライアント管理用ソフトウェア「HCL BigFix」も、その1つ。PCやサーバーだけでなく、IoT機器に対しても、インベントリ管理やソフトウェア配布などの機能を提供できる。

写真1：エイチシーエル・ジャパンHCLSoftware 代表 / カントリーマネージャーの大野 洋一 氏

IoT機器は常にネットワークにつながっているわけではない

　IoT機器の設置台数は、ある調査によれば、2021年の13.8億台が2025年までに 30.9億台と2倍以上に増える。一方で、個人情報の盗難件数は既に500万件を超え、サイバー犯罪の被害金額は 2023年に8兆ドルにも上るとの予測もある。

　サイバー攻撃の足がかりにされる筆頭がソフトウェアの脆弱性であることは周知の事実だ。その解消策の基本は修正パッチの適用だが、端末数や脆弱性の数が膨大なことが、その実施を難しくしている。大野氏は、「脆弱性の3分の1は既知になってから1年が経っても残り続けている。IoT機器は、搭載する基本ソフトウェア（OS）の種類が多く、手が回り切っていない」と、IoT機器の現状に警鐘を鳴らす。

各国の規制・法律に個別でない効率的・効果的な実装が必要に

　加えて、IoT機器の管理を難しくしている理由の1つに、「IoT機器はネットワークに常時つながっているわけではない」（大野氏）ことがある（図1）。「サーバーへの接続が必要な場合だけネットワークに接続し、日常の運用ではネットワークから切り離して使っているケースが少なくない」（同）という。

図1：IoT機器は常時ネットワークにつながっているとは限らないため最新状態に保つのが難しい

　図1の縦軸は、セキュリティレベル（安全の度合い）を示している。IoT機器にパッチを適用すると脆弱性が下がりセキュリティレベルは上がる。

　だが、IoT機器をネットワークから切り離すとパッチを適用できない。パッチを適用できる状況にあっても、すぐに適用するとは限らない。次のパッチが適用されるまでの間、IoT機器のセキュリティレベルは下がってしまう。どのIoT端末にパッチを適用したかを把握できていなければ、適用漏れが生じる可能性もある。

　この課題を解決するには、いくつかの施策がある。代表的な施策として大野氏は、IoT機器がサーバーに接続したタイミングにパッチを自動で適用する、エンドユーザーによるセキュリティ設定の変更を検知しパッチの適用をやり直すなどを挙げる。