情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

IoTセキュリティ

IoTの機器は、たとえば、ゲーム機やスマホ、監視カメラ、家庭用ルータなど、インターネットに接続される機器です。また、最近では自動車、家電、工場などの制御系システムなどもインターネットに接続されることがあり、これらの機器も攻撃される懸念があります。

■H27秋AP
問70 IoT (Internet of Things)の実用例として,適切でないものはどれか。
ア インターネットにおけるセキュリティの問題を回避する目的で,サーバに接続せず,単独でファイルの管理や演算処理,印刷処理などの作業を行うコンピュータ
イ 大型の機械などにセンサと通信機能を内蔵して,稼働状況や故障箇所,交換が必要な部品などを,製造元がインターネットを介してリアルタイムに把握できるシステム
ウ 自動車同士及び自動車と路側機が通信することによって,自動車の位置情報をリアルタイムに収集して,渋滞情報を配信するシステム
エ 検針員に代わって,電力会社と通信して電力使用量を申告する電力メータ



【正解】ア

IPAからは、「IoT開発におけるセキュリティ設計の手引き」が出されています。
 https://www.ipa.go.jp/files/000052459.pdf
 
IoTのセキュリティ対策といっても、普通のセキュリティ対策と同じです。外部からの攻撃をFWで守り、通信を暗号化し、認証を許可し、攻撃されないように脆弱性を塞ぐこと(ソフトウェアのアップデート)です。
ただ、IoT機器にセキュリティ機器を導入するなどの対策をするのが難しいことです。
とはいえ、それほど難しいことをしているわけではない(サーバを公開したり、インターネットから注文を受けたりしていない)ので、対策もシンプルです。
基本的には以下でしょう。
・パスワードを複雑にする(最低限、デフォルトから変える)
・ソフトウェアを最新にする(脆弱性を塞ぐ)
・インターネットへの接続は、FW(ルータでも効果あり)経由にする。つまり、外部からIoTデバイスへの直接攻撃をできないようにする
・通信を暗号化する
その他、IoTデバイス特有のものとしては、たとえば以下があります。
・遠隔ロック(スマホなどを紛失した場合に、遠隔から操作できないようにロックをします)

また、IoTの脆弱性を放置すると、攻撃者に加担する例もあります。
事例としては、2016年10月21日米国のDyn社のDNSサーバーに対し、大規模なDDoS攻撃が発生。攻撃に加担したIoT機器は10万台と言われています。このDNSを使っていたTwitterなどのサービスが停止しました。
https://www.nisc.go.jp/conference/cs/dai16/pdf/16sankou01.pdf
これを懸念した総務省が、IoT機器調査及び利用者への注意喚起の取組「NOTICE」を実施。平成31年2月20日(水)から容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査。結果をISPに通知し、ISPから利用者に通知します。
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html
NICTなら不正アクセス行為をしてもいいのか?ということで、不正アクセス禁止法に違反しないように、改正NICT法で対応。