Infostand海外ITトピックス

標的になるIoT端末 企業狙ったスパイ活動も増加

IoTセキュリティをめぐる動き

 IoTを狙った攻撃は企業システムでも深刻な問題になっている。2019年末のDark ReadingのIoTセキュリティのまとめ記事は、多機能プリンターなど新たにインターネット対応となったデバイスの導入が進む中、企業のセキュリティ対策が後手に回っていると指摘する。

 「(プリンターなどは)10年前からあるが、最近はIoTではなかったものがIoTテクノロジーに形を変えている」。その一方で、「多くの企業が『IoTって何?』という状態だ」とRapid7のIoTリサーチ担当、Deral Heiland氏は述べている。

 Dark Readingは、こうした中でのメーカーの対応、規制当局の動きを伝えている。Trend Microのグローバル脅威コミュニケーション担当ディレクター、Jon Clay氏は「(デバイス開発、製造、発売にあたって)セキュリティを重要なコンポーネントと認識するようになった」と、使い勝手やコスト優先だったメーカーに態度の変化があることを評価しながら、「実際に着手するという点では遅い」とも指摘する。

 規制面では、カリフォルニア州の「IoT Device Security Act」(IoTデバイスセキュリティ法)が今年1月に施行されたことを挙げる。IoTデバイスメーカーに対し、妥当なセキュリティ機能を加えることを求めるものだ。先進的とも言える法律だが、専門家の間には、法律の文言があいまいであるという指摘もあるという。

 ほかにも、米国立標準技術研究所(NIST)が「Core Cybersecurity Feature Baseline for Securable IoT Devices」(IoTデバイスのコア・サイバーセキュリティ機能ベースライン)として、IoTデバイスのセキュリティ機能の基準策定に乗り出している。昨年7月に草案が発表されており、正式版に向けて作業が進められている。

 Dark Readingは、IoTを狙う攻撃に対応する新しいセキュリティベンダーが登場していることも紹介している。例えば米国家安全保障局(NSA)向けの技術を基盤とするというAttilaは、遠隔からの安全なアクセスを強化してIoT実装の安全化ソリューションを提供するという。

 IoTの時代に向けて、セキュリティの取り組みも進む。だが、攻撃者も休むことなく、獲物を探している。セキュリティの攻防は、どこまでも果てしなく続く。