IoTという言葉が流行り始めて久しい。ビジネスにおいて無視できないトレンドだが、同時に話題になるのはやはりセキュリティだ。中小企業の場合、IoTセキュリティに関してどのように考えればいいのだろうか。
IoTのセキュリティについて議論するとき、ユーザーの立場なのか開発・サービス提供者側なのかを区別する必要がある。ここでは、中小企業の自社製品、受注案件で増えると予想されるIoTシステムの開発者、サービス提供者の立場で考えるセキュリティに的を絞りたい。
IoTの定義はあいまいだが、開発する側が「単にネットワークにつながった機器なのでサーバーの対策をすればよい」「IoTなんて以前からあるもので新しくない」という認識でいると、思わぬ落とし穴にはまることになる。現実に問題となっているのは、「これまでつながっていなかった機器がつながるようになった」ことに起因するもので、その対策は、接続するサーバーやクラウドの対策だけでなく、IoT機器本体の設計から考え直す必要がある。IoTセキュリティの本質はここにある。
クラウド側セキュリティはITシステムに準拠
クラウド側のセキュリティは、既存のインターネットセキュリティ、Webセキュリティとほぼ同じ考え方、対策が必要だ。ITシステムやサービスの経験があれば、それほど難しいことはない。アカウント情報やバックエンド側のDBやサーバー、さらには企業のイントラネットや情報資産をどう守るかの対策を立てる。リスク評価を行い、ファイアウォール、IPS/IDS、ログ監視、トラフィックモニタリングなどの技術をベースに、システムを設計することになるだろう。
その上で、Webサーバーやサイトページのセキュリティ、すなわちフィッシング対策、各種インジェクション攻撃対策、サーバーの脆弱性管理を考える。現在、Webサーバーはクラウドサービスを利用することが増えている。セキュリティ面では、自社でしっかりした管理体制の構築やシステム導入ができないなら、クラウド利用がいい。自社サーバーを運営するより安全だ。
大企業になると、IoTサービスのために自社でプライベートクラウドシステムを構築することもある。自動車メーカーが提供するテレマティクスサービスは、このような構造が多い。これもセキュリティレベルを高くする方法のひとつだ。中小企業の場合は、オープンなクラウドサービスとVPNを組み合わせたり、プライベートクラウドのサービスがある事業者を選択したり、といった方法がある。
