本稿ではIoTと関連する2つのセキュリティを紹介します。
1.IoTとその効果
IoT(Internet of Things)とは“あらゆるモノがインターネットにつながる”というコンセプトです。具体的には、各種のデバイス(機器)から得られるデータをインターネット経由で収集して分析し、かつデータに基づいて自動的あるいは人が判断してデバイスをリモートコントロールする仕組みを指します。IoT普及の背景には、センサやカメラ等の高度化・小型化・省電力化・低コスト化といったデバイス技術の進歩と大量のデータを分析するビッグデータ処理技術があります。IDC Japan社は、IoTの国内市場は2023年実績で6兆4672億円で、2028年には9兆4818億円に拡大すると予測しています。
企業にとってのIoTの適用事例として、例えば、製造業における生産ラインの効率化/生産性向上やサプライチェーン効率化や、プリンタやトラクターなど様々なデバイスの使用状況を分析して保守を効率化することがあげられます。また、デバイスの周辺情報を取得することにより、あらたな価値を提供するサービスを創出することが可能となります。その例として、ピンポイントの天候予測、ウエアラブルデバイスを活用したヘルスケア等があります。このようにIoTの主な効果は効率化と新規ビジネスの2つであり、これはDXの代表的な目標と同じです。すなわち、IoTはDXの実現方法の1つです。
【業態別】IoTの活用事例[1]
消費者にとって身近な適用事例にはスマート家電があります。リモートで/自動的に/AIスピーカーに指示して、エアコンや照明のスイッチをONにすることが実現しています。それを発展させたスマートホーム、さらに交通機関の連携を加えたスマートシティが検討されています。自動車は今やIoTデバイスの集合体です。位置情報と地理情報の連携、走行状況の分析による燃費の良い運転や安全運転の支援、事故時の保険会社への連絡と証拠保全が実現しており、さらに自動運転が期待されています。
2.IoTとホームセキュリティ
IoTは防犯や遠隔の肉親見守りといったホームセキュリティにも活用されています。これはインターネットに接続されたセンサやカメラなどによって、リアルタイムな監視やデータ収集を行い、犯罪や異常を検知するシステムです。IoTのホームセキュリティへの活用事例には、次のようなものがあります。
l IoTカメラ:
不審者の侵入を検知し、スマートフォンに通知を送信するほか、録画映像を証拠として保存することができます。AI機能を搭載したIoTカメラでは、人物の顔や車のナンバープレートを認識することも可能です。
l スマートロック:
外出先からスマートフォンで鍵の施錠状況を確認したり、スマートフォンによる施錠・解錠を行うことができます。
l 窓センサ:
玄関や窓に振動を感知するセンサを設置することで、侵入を検知してスマートフォンに通知を送信することができます。
l モニター付きインターホン:
スマートフォンで家の前に不審な人物がいないか確認したり、音声で来客対応することができます
上記の事例のいくつかは従来より、機械警備サービスとして提供されています。そこにIoTを適用するメリットとしては、センサやカメラ等のIoTデバイスの高機能化・低価格化があります。また、収集したデータを分析することによって、センサの出力から犯罪・事故の有無を判定するロジックをブラッシュアップすることができます。予兆の分析によって犯罪の予防も可能になるかもしれません。このような仕組みは商業施設やオフィスビル、さらに都市の防犯にも役立つと考えられます。
3.IoTと情報セキュリティ
IoTシステムは一般に、IoTサーバ、IoTゲートウエイとIoTデバイスから構成されます。IoTサーバはクラウドに構築することが多く、工場/プラント/住居等に設置されるIoTゲートウエイとの間をインターネットで結びます。IoTゲートウエイには複数のIoTデバイスを有線LAN、WiFi、Zigbee等のローカルネットワークで接続します。IoTゲートウエイは設置されないこともあり、その場合、IoTデバイスとIoTサーバが直接つながれます。
IoTシステムにおいては、主にIoTデバイスに情報セキュリティ上の課題があります。IoTデバイスはインターネットからIoTゲートウエイを経由してアクセス可能なため、IoTデバイスの脆弱性を突かれて不正操作されることがあります。実際に、多数のWiFiルータMiraiというマルウエアに感染し、他のシステムのサイバー攻撃に使用されたことがありました。
IoTデバイスは2025年に全世界で400億台になると言われており、ユーザが脆弱性を管理することが困難な状況となっています。また、CPU性能、メモリ、バッテリー容量といったリソースの量が限られることが多く、汎用のマルウエア対策ソフトをインストール、動作させることが難しいという課題もあります。これらのIoTデバイスの固有課題があるため、IoTデバイスの脆弱性に対してはソフトウエアを更新して脆弱性をなくすことが基本的対策となります。
今年の9月、経済産業省傘下のIPAはIoT製品に対するセキュリティ要件適合評価・ラベリング制度「JC-STAR」の開始を発表しました。JC-STARでは、IoTデバイスが定められた情報セキュリティ要件を満たす場合、IoTデバイスの製造・販売メーカーがIoTデバイスに要件適合する旨のラベルを貼ることが許可される制度です。IoTデバイスの調達者・消費者はラベルを見て、情報セキュリティ対策の実施状況を認識できます。
現在、全てのIoTデバイスに共通する、初期パスワードの個別化(または本パスワードへの強制変更)、ソフトウエアの脆弱性管理、ソフトウエア更新の手順といった基本的な情報セキュリティ対策の実施がレベル1(★1)の16の要件として設定されています。
適合ラベル[10]
JC-STARの対象となるIoTデバイスには条件が定められています。1つはIPプロトコルを用いて直接/間接にインターネットとつながる可能性があることであり、WiFiルータは対象ですがZigbeeを使用するセンサは対象外となります。他には購入後に(ユーザ自らの意思で)情報セキュリティ機能を追加できないことであり、パソコン/タブレット/スマートフォンは対象外です。これらの条件は、IoTデバイスの情報セキュリティに関する固有課題に関して設定されたものと思われます。
なお、同様の認証制度としてEUではサイバーレジリエンス法、米国ではサイバートラストマーク制度が今年施行あるいは運用開始されます。JC-STAR はこれらの制度と相互承認することを目指しています。これが実現すると、IoTデバイスを輸出する際のメーカーの負担を減らすことができます。
◆執筆者プロフィール
岩本 元
ITコーディネータ/ISMSクラウド審査員/技術士(情報工学部門 総合技術監理部門)
【参考情報】
[1] IoTを活用した製品・サービス事例5選と業態別事例7選
https://www.cct-inc.co.jp/koto-online/archives/90
[2] 工場・製造業におけるIoT化で実現できること
https://www.ntt.com/business/services/network/m2m-remote-access/bmobile/archive_11.html
[3] IoT、ロボット、AIで変わる農業
https://www.yanmar.com/jp/agri/agri_plus/information/075.html
[4] 空調のIoT化ってなに?仕組みやメリット・デメリットを詳しく解説
https://menteru.jp/blog/iot_air_conditioning
[5] コムトラックス
https://sanki.komatsu/komtrax/
[6] ついに来た!自動車業界におけるIoT活用事例20選!
https://www.kotora.jp/c/itiger-case-643/
[7] IoTによる防犯の重要性|セキュリティの進化と利点
https://www.astina.co/media/9191/
[8] MAMOLEO(IoT見守りサービス)
https://www.mamoleo.jp/
[9] IoTを狙うボットネットって何?自動更新機能が対策のカギ!(NISC)
https://www.nisc.go.jp/pr/column/20220531.html
[10]JC-STAR
