迫り来るIoT社会。企業のセキュリティ対策はより高度・複雑に


情報セキュリティ対策の対象は、パソコンだけでなくスマートフォンなどのスマートデバイスにも求められています。さらに近い将来、あらゆるモノがインターネットに接続されるIoT(Internet of Things)社会の到来で、セキュリティ対策もこれまで以上に対象機器の幅が広がり、複雑なものになっていくでしょう。その一方で、セキュリティに関する専門知識をもった人材の不足も懸念され、セキュリティに関するリスクを社内での取り組みだけで対処していくのは難しくなってきています。今回は、すぐそこまで迫ってきたIoT社会に向けて、企業はどのようにセキュリティ対策を強化して、情報流出などの事故を未然に防いでいくかを取りあげます。

サイバー攻撃への対策はスマートデバイスでも常識に

インターネットに接続して活用する情報機器はパソコンだけでなく、スマートフォンやタブレットに代表されるスマートデバイスにまで広がり、積極的に導入している企業も多いでしょう。こうしたスマートデバイス上で動作する不正なアプリ(マルウェア)は急激に増加しており、サイバー攻撃の脅威は増してきています。

セキュリティ対策ソフトを開発している企業は、2011年から2015年第二四半期までに出現したAndroid OS上で動作するマルウェアの推移を公表しています。それによると、マルウェアの出現数は3年間で400倍以上という急激な増加を示しています。今後はスマートデバイスに対する脅威が一段と高まり、業務で活用する際にはパソコンと同様に厳重なセキュリティ対策を講じることが企業にとっての常識となります。


IoT社会が到来すればセキュリティ対策は複雑化

インターネットに接続して利用する機器はスマートデバイス以外にも続々増え続けています。スマートウォッチのような身につけて使用するウェラブル端末もそのひとつで、新製品が相次ぎ発売され注目を集めるようになりました。そして家電製品、自動車、監視カメラ、センサー、医療機器など、あらゆる「モノ」がインターネットに接続して活用されるIoTの時代が訪れています。

IoT社会では、これまではネットワークにつながっていなかったさまざまなモノがインターネットに接続され、「IoT機器」となります。そうなれば、すべてのIoT機器のセキュリティ対策も考慮しなければなりません。現在のサイバー攻撃同様に、セキュリティ対策が十分施されていないIoT機器を狙って、外部から攻撃をしかけてくることは十分考えられ、悪意のある動作をするソフトウェアを送り込まれて感染すれば、遠隔操作でIoT機器が乗っ取られてしまう可能性があります。

実は、IoT機器がサイバー攻撃に利用されている状況はすでに起きているのです。ある国立大学で、2015年4から7月にかけて大学内のネットワークに受けたサイバー攻撃の通信元を調べたところ、世界各国の火災報知機やIP電話、ビルの空調制御システムなどのIoT機器が外部にサイバー攻撃を仕掛けるための踏み台にされていて、その数は約15万台にも及んでいました。IoT社会がもたらすサイバー攻撃の脅威はもう現実のものとなっているのです。

IoT社会での情報の流出被害は、現在のような住所や氏名といった個人を特定できる情報にとどまらず、さまざまなプライバシー情報が流出の対象になるかもしれません。たとえば、ウェアラブル端末の場合、心拍数や血圧などの健康状態やGPSと連携した行動記録を保存しています。マルウェアに感染すればこういったプライベートな情報が流出する危険があります。業務用の複合プリンターなどの事務機器でも、出力情報やFAXの送信データ、操作履歴などが流出リスクの対象になるでしょう。さらに、監視カメラに保存してある映像が流出すれば、社内のあらゆる部署の様子を見られてしまうことも考えられます。

現在のところ、IoT社会で生じるセキュリティ事故や、それによって引き起こされる情報流出の規模は明確には予測できず、対策も模索の段階です。とはいえ、身の回りのモノが次々にインターネットに接続されようとしている中、企業もIoT社会に向けたセキュリティ対策を検討していくことは急務となりつつあります。

専門技術の育成と人材不足を補うセキュリティ対策を

前述したように、IoT社会になれば、インターネットに接続したあらゆる機器がサイバー攻撃の対象となり、被害を受ければプライバシーや機密性の高い情報が流出することを想定しておかなければなりません。そのため、セキュリティ対策は現在よりもさらに複雑・高度なものになります。

企業でIoT社会に対応したセキュリティ対策を強化していくには、まず人材の確保が不可欠です。しかし、ここで気になる問題があります。ネットワークセキュリティの専門知識を習得した人材の育成が十分とはいえない現状があるのです。IT・情報処理関連の人材育成を推進する独立法人が、2014年に情報セキュリティ人材の育成に関する基礎調査を実施し、情報セキュリティに従事する技術者は不足していると指摘しています。企業は、今のうちから情報セキュリティ技術者の育成に力を入れていかなければなりません。しかし、実務で通用するだけの技術者を企業内で育て上げるには時間がかかります。そのため、セキュリティの専門知識を持った人材の不足を補えるような手段も必要になるでしょう。ひとつの方法としては、クラウド型セキュリティのような専門事業者が提供するサービスの利用があります。社内での人材育成とあわせて導入を検討しておくとよいでしょう。

組織的な取り組みとシステム投資の両立がいっそう重要に

企業のイメージ

企業における情報セキュリティをテーマに、昨今の人為的な要因で発生する企業の情報流出事故や、外部からの標的型メール攻撃、そして到来がすぐそこまで迫ってきているIoT社会に焦点を当て、それぞれについてセキュリティ対策をどのように取り組んでいけばよいか述べてきました。

企業で管理している情報のセキュリティ対策はこれまで以上に複雑になっていくことが見込まれます。そして、組織的な取り組みとシステム投資の両面で対応していくのが効果的な解決策のひとつとなるでしょう。経営者自身も情報セキュリティリスクとその対応に理解と関心をもちながら事業を進めていくことが求められます。

サイバー攻撃対策ソリューション 「TrustShelter」

参考文献

G DATA MOBILE MALWARE REPORT(G DATA Software AG, 2015年, P4)

ニュースで知る サイバーセキュリティ「IoTがサイバー攻撃の標的に」(NHK,2016年)

IoTの情報セキュリティ(情報処理推進機構, 2015年5月)

情報セキュリティ人材の育成に関する基礎調査」報告書について(情報処理推進機構, 2014年7月30日)