SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート(PR)

IoT時代に求められるセキュリティ・バイ・デザインとは?

 IoTの急速な普及に伴い、セキュリティリスクも増大している。IoT機器を踏み台とするマルウェア「Mirai」が世界規模で猛威を振るったのは記憶に新しいところだろう。「Security Online Day 2017」において、デロイトトーマツリスクサービス株式会社 パートナーの北野晴人氏は、IoT機器およびそれらを活用したサービスに求められるセキュリティ対策のポイントや従来の情報セキュリティとの違いなどを解説した。

従来の情報セキュリティ対策とは異なるアプローチが必要

 あらゆるモノがネットワークにつながるIoT(Internet of Things)の進展により、社会インフラや医療・ヘルスケア、交通、娯楽など、幅広い分野で新しいサービスやビジネスが生まれつつある。その一方で懸念されているのが、セキュリティリスクの増大だ。北野氏は、IoTの普及によって発生した新たな課題を3つに分類して説明した。

デロイトトーマツリスクサービス株式会社 パートナーの北野 晴人氏

 1つは、IoT機器の脆弱性を突かれて攻撃者に乗っ取られ、他のコンピュータなどへの「攻撃の踏み台」にされてしまうことだ。2016年には、世界中で大量の監視カメラやルーター、DVR(デジタルビデオレコーダー)などのIoT機器がマルウェア「Mirai」に感染。これらがボットネット化されて史上最大規模のDDoS攻撃に悪用され、実際に複数の大手Webサービスをダウンさせるなどの被害をもたらした。

出所:デロイトトーマツリスクサービス株式会社 北野晴人氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 もう1つは、犯罪など不正な行為の道具としてIoT機器が悪用されること。「たとえば、Webカメラや監視カメラに不正アクセスされて映像を盗み見られることで、脅迫、名誉棄損、侵入・盗難などの補助的手段に使われるかもしれません。物理的なテロの予備手段として使われる可能性もあります」と北野氏は話す。

 そして3つめは、主に不正アクセスによりIoT機器が誤作動・停止して、直接的に物理的な事故を引き起こすことだという。たとえば、自動運転車が誤作動すれば重大な事故につながりかねないし、医療機器が停止すれば患者の生命や身体状態に危険が及ぶこともある。

 こうした脅威に対してどのような取り組みが求められるのだろうか。北野氏によれば、まず、IoTのセキュリティ対策ではこれまでの情報セキュリティ対策とは異なるアプローチが必要になるという。

 従来のITシステムにおけるセキュリティでは、情報セキュリティの三要素といわれる「CIA」の中でも「C」の機密性(Confidentiality)を重視する傾向が強い。背景としては、個人情報や知財などの機密情報は実際にサイバー攻撃の対象とされるケースが多いことや、万一漏えいすれば信用失墜や賠償などで大きなダメージを受けることがあるだろう。これに対して、IoTを活用したサービスのセキュリティにおいては「A」の可用性(Availability)がより重要になると北野氏は指摘する。

 「医療機器や自動運転車の停止は人命に関わる深刻な問題を起こす可能性があり、何より可用性が求められます。『CIA』から『AIC』へのシフトを意識する必要があるでしょう。加えて、IoTではセキュリティだけではなく物理的な安全性の『セーフティ』も十分に考慮しなければなりません」

次のページ
「セキュリティ・バイ・デザイン」で設計段階からセキュリティを組み込む

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

Security Online編集部(セキュリティ オンライン ヘンシュウブ)

Security Online編集部翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9859 2017/10/30 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング