ESET/マルウェア情報局
中小企業で問題となるIoT機器セキュリティを紹介
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「RSA – 中小企業にも求められるIoT機器のセキュリティ」を再編集したものです。
いまや中小企業のビジネスは数多くのIoT機器に支えられている。それらの安全性をどのようにすれば確保できるか。これはRSAでも大きなテーマとなっている。過去、IoTは大きな注目を集めるまでには至らなかったが、状況は大きく変化してきている。典型的な零細企業は汎用のハードウェアを用いてクレジットカードを処理しており、安全性が高い専用のハードウェアを採用していない。これはセキュリティーの観点からみると大きな問題だといえる。
一般消費者向けに販売されているIoT機器を中小企業のビジネス現場で利用することは極めて危険だと言わざるをえない。そして、従業員が自宅から端末を自社に持ち込むことは脆弱性を持ち込むことにほぼ等しいだろう。
このようなケースへ対処するためにも、中小企業は早急にセキュリティーライフサイクルの構築に取り組むべきである。自社のネットワーク内に侵入できる(あるいはネットワーク外でも社内のデータにアクセス可能な)アドホック*1機器を有することは潜在的な脆弱性を抱えることと等しく、どの機器がデータにアクセスしているかの言及はできないまでも、単純にこれまでのパソコンと状況は大きく異なってくる。専用にカスタマイズされたLinuxが実装されたデジタルビデオレコーダーから最新のAndroid端末まで、新たなセキュリティー問題はさまざまなプラットフォーム上に存在している。
*1 通常、「限定的な」と訳されるが、ここでは「特別仕様の」という意味を含んでいる。
問題なのは、多くの零細企業でセキュリティーライフサイクルとは何かを理解していないことにある。その導入や設計の重要性については今さら述べるまでもない。端末の発見から搭載、セキュリティー対策、最適化そして管理まで、非常に気が遠くなるようなタスクが並び、膨大な資金も必要となる。しかし、多くの資金や手間をかけずとも、一定のIoTセキュリティーを実現できる方法もいくつか存在する。
1.多要素認証:ハードウェアトークン、もしくは認証情報管理ソフトウェア(credential management software)を使用すること。これらは多額の資金をかけずとも導入できる。例えば、最近では安全性の高いUSBメモリーを50ドル(およそ6000円)以下で購入することが可能だ。同様の機能を持つソフトウェアの導入も、多くの費用を必要とせずに企業のセキュリティを強化する。近年リリースされるソフトウェアは理解しやすく、暗号に関する専門知識がなくともわずか数クリックで暗号化することができる。
2.ネットワークインテリジェンス:IoT機器の多くは自社のルーターに接続するが、どれかの端末が感染した場合、ネットワークトラフィックの異常を観測することで検出が可能となる。脆弱性を有するIoT機器をLinuxベースに置き換えるということも理論的に考えられる選択肢ではあるが、その必要性はない。セキュリティーベンダーからワイヤレスルーターに接続して利用する検出機器が提供されており、これが状況を逐一報告してくれる。これらの機器はクラウドへ接続して定義データベースを最新のものへアップデートしないでも、危険な兆候がある場合には注意喚起を発する。そして、開始ビュー上にIoT機器のネットワークの状況を可視化してくれる。
3.バックアップ:ランサムウェアからの攻撃、あるいはマルウェアなどの活動などが可能性として考えられる場合、シンプルかつ効果的なバックアップが一番の選択肢であるのは疑う余地もない。ソフトウェアのシリーズによっては、従業員や外注パートナーなどが重要な情報資産を盗み出した場合、一定の期間にファイルの削除、複製または抽出した状況を再現できる。また、企業向けの製品は多々あるが、高機能なエンタプライズ製品は必要なく、簡易なものから始め、必要に応じて拡張していくことで対処は可能である。大切なことは、備えを欠かさないということに尽きる。のちに、ランサムウェアから攻撃を受けた時にきっと痛感することになるだろう。
中小企業規模の経営におけるビギナーでもプロフェッショナルであっても、RSAでは必ずしや得られるものがあるだろう。今回紹介した3つの対策は多くないコスト負担で、中小企業におけるセキュリティーを確保することに役立つはずだ。
[引用・出典元]
RSA – IoT security meets SMB by Cameron Camp6 Mar 2019 - 12:48PM