IoTセキュリティを一歩進めるには? ~スマートファクトリー・ローカル5G・コネクテッドカーが求めるセキュリティ施策~


IoTという言葉は浸透したが、導入はまだこれから、あるいは開始されたばかりという企業も多いだろう。IoTのセキュリティについては、数年前から議論は進んでいたが、事例に乏しく具体的なイメージがつかみにくかった。しかし、IoT導入が進展を開始、次の一歩を踏み出すタイミングがやってきた。

文/中尾真二


IoTセキュリティの対策意識を持とう

家電製品やネットワークカメラがインターネットに接続されるようになり、PCやサーバーではないIoTデバイスのセキュリティ対策が注目されるようになった。この連載でも過去にIoTセキュリティを取り上げているが、IoTデバイスを狙った攻撃は急増しており、IoTセキュリティは言葉としてはすでに定着した感がある。

IoT機器を狙った攻撃の増加 「IoT・5G セキュリティ総合対策 2020」(総務省 サイバーセキュリティタスクフォース)より

しかし、数年前から盛り上がるIoTセキュリティ議論は、普及初期の段階だったこともあり、事例や適用範囲が限定されがちだった。対策も、重要インフラセキュリティやPSIRT(Product Security Incident Response Team)といった既存対策や枠組みの延長で語られる傾向があった。もちろん、それは間違いではないし、現在も有効な対策アプローチである。企業や個人が、総務省やIPA(情報処理推進機構)らが公開するIoTセキュリティのガイドラインや関連資料を読んで、対策意識を持つことは重要だ。

ここでは、ガイドラインや対策の基本を踏まえつつ、新しい技術や攻撃について考えてみたい。トピックとしては、適用事例が増えつつあるスマートファクトリー、その工場や自治体に広がりつつあるローカル5G、さらに最新の自動運転車両に代表されるコネクテッドカーを挙げることができる。

IoTセキュリティとITセキュリティの違い

IoTセキュリティの基本は、それまでインターネットに接続されることのなかった電子機器、家電製品の設計・製造・運用(利用)段階に、サイバーセキュリティ対策の視点を組み入れることだ。考え方は、ISMSに代表されるセキュリティマネジメントが適用される。つまり、経営トップがセキュリティの方針を定め、自社・自組織の守るべき資産を洗い出し、そのサイバーリスクを評価・分析する。

IoTセキュリティでは、このとき製品が利用される環境や利用者の範囲が従来のITセキュリティと変わる。設置場所が家庭や公共スペースだったり、利用者が一般消費者だったりする。IoTデバイスは、監視カメラやネット家電、自動車など、ノートPCやスマートフォンとは違った利用シーンを想定する必要がある。とくに、それらデバイスが移動または分散していることも注意が必要だ。

ネットワーク(インターネット)に接続されるという意味も正しく理解したい。「IoTはモノのインターネット」という言葉が示すように、つながるのはエアコンや監視カメラやただのセンサーだ。それらIoTデバイスのアカウント管理や認証技術も重要になる。IoTデバイスはコンピュータとは限らないが、サイバー空間ではセキュリティアップデート・脆弱性管理は必須である。しかし、IoTデバイスのソフトウェアアップデートは簡単ではない。

これらの要件を勘案して、システムの開発、製品の設計、運用(利用)に、セキュリティ設計と対策を組み込んでおく必要がある。業務システム、市販される製品を問わず、設計・製造プロセスにセキュリティ検査や対策を組み込み、運用やサポート体制も見直す。

スマートファクトリーではローカル5Gが広がる

スマートファクトリーやコネクテッドカーのセキュリティはIoTの視点ではどうなるのだろうか。

スマートファクトリーは、既存の製造ラインや工場プラントのセンサー、制御コンソール、ロボットや工作機械、さらには部品や材料をネットワーク技術でつなぎ、高度な自動化、生産管理を実現する。業務やラインをIT化するだけでなく、工場内の機器や部品がネットワーク経由でクラウドやデジタル空間に反映されることで、リアルタイムの生産状況、品質が把握でき、それらをもとに経営戦略など上位の意思決定を行うことが可能だ。

これらのセンサーや機器、部品などは、IoTデバイスとして上位レイヤの業務システムや経営分析のAI、クラウドにつながることになる。なお、部品や材料などはRFIDやバーコードによってデジタル化される。製造ラインのカメラやセンサーは、品質チェックや異常検知のために従来から設置されているもの以外に、ラインの稼働や作業プロセスをモニタリングするAIカメラなども含まれる。

スマートファクトリーでは、ローカル5Gの活用が始まっている。工場内の機器やカメラをオンラインとする場合、高度な画像解析を行ったり、ロボットの遠隔操作、AIなどによる大量のデータ処理が発生したりすることがある。5Gの⾼帯域、低遅延、同時⼤量接続の機能がもっとも⽣かされるのがローカル5Gともいわれている。

監視・管理対象は施設内の機械・センサーと無線ネットワーク

スマートファクトリーやローカル5Gのセキュリティでは、やはり無線ネットワークとエンドデバイスの対策が特徴的となる。それより上のレイヤは一般的なネットワークセキュリティやITセキュリティの考え方が適用できる。

まず、エンドポイント(エッジ)デバイスがPCからセンサーまで多様になる。OSなど特定プラットフォームを前提とした対策が難しい。また、デバイスそのものが接続主体となり、アカウントは「デバイスハードウェア」となり、人間のユーザーアカウントとは属性も変わる。デバイスごとに人間のアカウントのようなアクセス制御や認証・権限の考え方が必要だ。

認証はデバイスのIDだけでなくワンタイムパスワードのような都度処理が発生するものが望ましい。ケーブルでつながっていればいいが、スマートファクトリーやローカル5Gでは、Wi-Fi、Bluetooth、ZigBee、RFIDのような中近距離の無線接続が基本となる。なりすましデバイスや乗っ取りへの細心の注意が必要だ。

IoT機器のネットワークへの接続例「IoTセキュリティガイドライン ver1.0概要」(IoT推進コンソーシアム・総務省・経済産業省)より

ローカル5GならではのSIM対策

ローカル5Gは、通信キャリアのローカルネットワークを構築するためデバイスの識別に埋め込み型のeSIMを使うことがある。インターネット経由で情報の書き換えが可能なeSIMの情報をハッキングされたり改ざんされたりすれば、ラインやプラントの制御を奪われたり、破壊工作をされる可能性がある。

もちろん、物理的なアクセス、攻撃者の侵入への対策も強化する必要がある。IoT機器はセンサーやカメラなどシンプルなハードウェアであることが多い。ケースや鍵、堅牢な固定など物理的なハッキング耐性を確保することを忘れてはならない。

ネットワーク上の通信内容もモニタリングや監査が必要だ。必要なら通信の暗号化を行うが、ネットワーク上の命令やデータが正しいものか、正規のものか、改ざんされていないか、正当性や完全性の確認を行わなくてはならない。トラフィックの監視は、パケット単体のチェックだけでなく、振る舞いなどの異常も検知できるような高度なSIEM(Security Information and Event Management)を導入できるとよい。このデバイスからこんなコマンドが出るわけはない、この処理の流れでこのデータはおかしい、といった現象を見逃さないことが重要だ。

コネクテッドカーや自動運転車両もIoT

通信機能を持ったカーナビやアプリと連携してドアロックやエアコン操作ができる車両が出回っているが、今後注意が必要なのが、自動運転カーだ。ホンダがレベル3自動運転カー(レジェンド)、日産やトヨタが手放し運転ができる自動運転支援カー(レベル2相当)を発売している。同じくレベル2相当だが、テスラの自動運転機能(オートパイロット、FSD=フルセルフドライブ)もある。

これらの車両の一部は、走行中のカメラ画像をクラウドに送っている。目的は、自動運転機能を改善するためのデータ収集だが、車両がほぼ常にネットワークにつながっていることを意味する。高度な自動運転機能を持つクルマは、ビッグデータを収集するIoTデバイスと考えることができる。カーアプリなどとは違った対策視点が必要になり、今後はこれが当たり前になると言われている。

幸い、車載コンピュータやカーナビなどのIVI(In-Vehicle Infotainment)は、中身はほぼ普通のコンピュータなので、セキュリティ対策や機構を適用しやすい。デバイス保護、認証と内部ネットワークの監視は、スマートファクトリーで解説したスキームが適用できる。ただし、車両制御を行う車載ネットワーク(CAN=コントローラーエリアネットワークや車載イーサネット)と、クラウドやインターネットと接続するIVI・テレマティクス機器のセグメントを明確に分離する必要がある。制御系コンポーネント群とテレマティクス系コンポーネントの直結は避け、必ずゲートウェイを設置し、不要・不審なアクセスは遮断する。

レベル3自動運転車両については、国内の関連法でもサイバーセキュリティ対策の導入が規定された。IoTガイドラインの他に、道路車両運送法・保安基準とも整合性を取る必要がある。なお、IPAのIoTガイドラインと保安基準に定められたセキュリティ基準は、基本的に同じポリシーを汲むものと思っていい。

セキュリティ対策に必要なソリューションは
ソリューションファインダー」で見つけられます!

貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、セキュリティ強化に適したソリューションを見つけることができます。

筆者プロフィール:中尾 真二(なかおしんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。