IoT機器の利用が広がるにつれ、IoT機器のセキュリティ対策が重要となりつつある。本稿では、具体的な事例とともに、IoTにはどのような脅威が存在するのか指摘しつつ、その対策について解説していく。

 一般に、情報機器のセキュリティ対策では、「機密性(Confi dentiality)」、「完全性(Integrity)」、「可用性(Availability)」――の3つの要件、いわゆる「CIA」が重要とされる。機密性は、盗聴や不正アクセスの脅威に対し、アクセス権限を持つ者だけが情報にアクセスできること。完全性は、破壊や改ざんされることなく、情報を正常な状態で維持することを指す。可用性は、サイバー攻撃やシステム障害が発生しても、情報へのアクセスが継続できることである。

 以降では、これらの3つの要件について、具体的な例を挙げて説明していこう。

機密性:強固なパスワードと機器の隔離で対処

 IoT機器に対する不正アクセスを防止するためには、以下の2つの手法が考えられる。順に見ていこう。

(1)類推しにくいユーザーIDとパスワードによる強固なユーザー認証

(2)専用回線を用いたIoT機器の隔離

 (1)の手法について、情報機器で強固なユーザー認証を実現するためには、工場出荷の際に設定したユーザーIDとパスワードを初期設定時に強制的に変更させる仕組みや、安易なパスワードの設定を拒否する仕組みなどが求められる。また、ユーザーIDの変更ができないIoT機器であれば、類推されにくいパスワードが必須となる。

 しかし、IoT機器にそのような仕組みを載せることは、製造コストに加え、設置作業のコスト増加となる。1台単位のコスト増はわずかであっても、IoT 機器の設置台数や設置範囲に応じて総額は増加し、許容できない額となり得る。