IoTのセキュリティを考慮するうえで最大のポイントが、これまでインターネットにつながっていなかった機器がインターネットに直結されることだ。ここからは、インターネットに直結されることでIoT機器にどのような脅威が発生するのか、そしてどのような対策が有効なのか、具体的な事例を基に考えていく。
IoT技術をいち早く導入した分野として、産業制御システム(ICS)がある。制御システム全体でIoT技術を用いるのではなく、図5のように工場のセンサーや工作機械の制御をコンピュータで監視するというものである[参考文献6]。この図を見れば分かるように、本来であれば、情報ネットワークと情報制御ネットワークの間には「エアギャップ」(後述)としてファイアウォール(FW)を設置する。情報ネットワークからの情報制御ネットワーク向きの通信を制限・禁止し、情報制御ネットワーク、さらにその奥にある制御ネットワークがインターネット側からサイバー攻撃を受けないようになっている。
しかし、現実には、攻撃メールによりマルウエアを感染させたOA端末から、許可された通信を介して情報制御ネットワークにサイバー攻撃を仕掛けたり、マルウエアに感染したUSBメモリーを情報制御ネットワークに持ち込ませたりすることで、ICSに深刻な被害を与える事例が多数報告されるようになってきている。
このような状況にあるにもかかわらず、IoT機器の利用では、対策費用が高額になることを嫌って、図5のような多段構成による防御を講じない構築事例が増えつつある。ICSの情報制御ネットワーク部分が一切の保護もなくインターネットにつながっており、管理マシン(Human Machine Interface、HMI)が直接インターネットに接続されている事例が既に見つかっている[参考文献7]。この例では、水力発電所の発電機の制御画面を表示したWindowsのデスクトップ画面がリモートでアクセス可能であり、かつ、非常に甘い認証でアクセスできたのが原因であった。
さらには、制御ネットワークそのものにインターネットを使うIoT機器の設置事例も見受けられるようになってきた。例えば、米国では、高速道路に設置された電光掲示板の管理に23/TCP(数字はポート番号、TCPはプロトコルの種類)のTelnetを使用し、かつ、安易なIDとパスワードを使用していたことが見つかり、イタズラでインターネット越しにデタラメな掲示に変えられてしまうという事件が発生した[参考文献8]。
