IoTセキュリティとは│リスクと対策、インシデント事例も紹介【2024年最新版】

IoT（Internet of things）はデバイスとインターネットをつなぐ技術・仕組みを指すもので、日本語では「モノのインターネット」とも呼ばれます。スマートフォン・タブレットや自動車、産業設備などあらゆるデバイスの効果的な活用が可能なことから幅広い分野で普及が進んでいますが、セキュリティリスクをはらんでいるのも事実です。
この記事ではIoT機器がサイバー攻撃の標的にされる理由やセキュリティリスク・脅威、セキュリティ対策について解説するとともに、過去の事例も紹介していきます。IoTの開発・導入を検討中の方は、ぜひ参考にしてください。

【関連ページ】システム開発にかかる費用・相場感や、あなたの目的別にシステム開発会社をお探しいただけます。
システム開発の費用・相場
システム開発会社一覧

IoTセキュリティとは、インターネットに接続されたデバイスの保護を目的とした取り組みのことです。日本語で「モノのインターネット」とも表現されるIoTでは家電製品や自動車、産業設備などあらゆるモノ（デバイス）がインターネットに接続されています。インターネットに接続している以上はどんなものもサイバー攻撃の標的になる可能性があるため、セキュリティ対策が欠かせません。特にIoTではデバイスのセキュリティ対策が不十分であることが多いため、デバイスの保護策も大きな課題となっているのが現状です。

IoT機器がサイバー攻撃の標的にされる理由は複数ありますが、まずあげられるのが「想定外の使い方ができてしまう」という点です。たとえばIoTの制御機能を乗っ取れば誤った指示を出せるほか、重要なデータをロックして使用不可な状態にすることもできるため、悪意ある人間が攻撃対象として選択する要素になりえます。
IoTは常に監視するケースが少ないにも関わらず、ライフサイクルが長いという問題があります。また、IoTデバイスが接続されているサーバーへのアクセスを制御するためのID・パスワードを初期設定のまま運用しているケースが多く、不正ログインが容易なのもサイバー攻撃の標的にされやすい理由でしょう。

IoT機器には具体的にどのようなセキュリティリスク・脅威があるのでしょうか。ここからは、IoT機器のセキュリティリスク・脅威について詳しく解説していきます。

IoTはモノ（デバイス）をインターネットにつないで運用するのが特徴ですが、ネットワーク上で扱うデータの中には人の顔や住所、使用者の検索履歴、Webサイトのアカウント状態、周辺の音声情報といった情報が含まれています。文字情報以外のデータを扱うことも多く、映像や音に含まれる内容からさまざまな情報を取得できてしまいます。これらの情報が漏えいすると個人情報の特定やアカウントの不正利用などに悪用される可能性があるため、IoT機器の典型的なセキュリティリスクだと言えるでしょう。

悪用リスクの高いデータのやりとりのないIoT機器にもセキュリティリスクは存在します。冷蔵庫やエアコン、照明などは一見リスクがないように感じるかもしれませんが、インターネットに接続している以上は「踏み台」として利用されるリスクがあります。
IoT機器が乗っ取られて悪意ある者の指示を受ける状態となる「BOT化」が発生すると、ほかのサーバーを攻撃するための材料に悪用させる可能性が高くなるのです。インターネットに接続されたモノ（デバイス）はそれだけで攻撃の価値があると考えられるため、IoT機器には役割や機能を問わずセキュリティリスクがあると覚えておきましょう。

インターネットは世界中からアクセスが可能なため、IoT機器は使用者だけでなく悪意ある者のサイバー攻撃の対象となります。特に何らかの制御を実行するIoT機器が乗っ取られた場合は、悪用されるリスクが高くなります。
製造業で使われている設備・システム、自動車、医療機器などデバイスを通じて得たデータにもとづいて制御が実行されるIoT機器は誤った制御がトラブルの原因になるものです。制御を悪用されると設備・機器の暴走やシステムの停止などが発生し、場合によっては大きな被害につながるケースもあるなど危険性が高いと言えます。

「自社にあった会社が見つからない」「会社選びに時間が割けない」とお悩みの方は、お気軽に「PRONIアイミツ」にお問い合わせください。数あるシステム開発会社からあなたの要望にあった会社をピックアップして無料でご紹介いたします。

IoT機器にはさまざまなセキュリティリスク・脅威が存在しますが、実際にサイバー攻撃に遭うとどのような状態に陥る可能性があるのでしょうか。ここからは、実際に起きたIoT機器のインシデント事例を紹介します。

2016年に確認された「Mirai」は、現在も亜種が報告されるなど未だに悪意ある者に利用されているマルウェアです。誰でも手軽にソースコードを入手できるという特性から次々に亜種が作成され、感染を食い止めるのが困難な状況に陥っており、IoTにとっても大きな脅威だと言えます。「Mirai」による攻撃の流れは以下のとおりです。

こうした方法によってウイルスを送り込むことや、システムをダウンさせることが攻撃者の狙いです。実際にAndroid OS搭載の機器を標的とした「Mirai」亜種による攻撃が観測された例もあり、IoT機器の代表的な脅威となっています。

※ 出典：情報処理推進機構「情報セキュリティ白書2022」https://www.ipa.go.jp/publish/wp-security/qv6pgp0000000vgi-att/000100475.pdf

2016年の11月にフィンランド南東部の都市・ラッペーンランタにある2棟の建物がハッカーによる攻撃を受けて暖房が停止した事例です。この建物ではIoTを用いて空調や水道の温度管理を行っていましたが、外部からのDDoS攻撃によってシステムが誤作動し、再起動を繰り返したのちに暖房が停止してしまう事態に陥りました。
この時季のフィンランドは平均気温が氷点下を下回っており、暖房が停止すると人々の生活や仕事への影響だけでなく、健康被害につながる可能性も考えられます。幸いDDoS攻撃にはネットワークトラフィックの制限によって早期に対処できたものの、電気や水道などのインフラに関わるIoTが攻撃を受けると、場合によっては大きな被害につながりかねない危険性が知らしめられました。

※ 出典：ASCII.jp「セキュリティ被害はあなたの半径1m以内でも起きる 第17回」https://ascii.jp/elem/000/001/405/1405563/

「Stuxnet（スタクスネット）」は2010年ごろに発見が報告されたマルウェアで、以下の特徴があります。

この「Stuxnet」による被害はおよそ6割がイランに集中しており、中でも代表的なインシデント事例としてあげられるのがウラン濃縮施設に対する攻撃です。施設の稼働妨害を目的としてサイバー攻撃が実行されたとされ、多くの専門家が最大で約1,000台もの遠心分離機を破壊した（※）と見ています。また、遠心分離機が稼働できなくなったことで当該施設におけるウラン濃縮が停止してしまい、国策の核開発の後戻りにつながったとも言われています。
なお、標的となった産業用のプログラマブルロジックコントローラーはIoTデバイスとは呼べないものの、スマートデバイスが攻撃を受けると大きな被害につながることがうかがえます。

※出典：ZDNET Japan「IoTのセキュリティリスクを知らしめる、悪夢のような5つの事件」https://japan.zdnet.com/article/35102517/

IoTの急速な普及とあわせてセキュリティリスク・脅威が明らかになったことで、IoTセキュリティの重要性に対する理解が広がりつつありますが、具体的にはどのような対策に取り組むべきなのでしょうか。ここからは、IoT推進コンソーシアムによるガイドラインを踏まえ、IoT機器のセキュリティ対策方法を解説していきます。

IoT機器のセキュリティ対策を適切に進めるためには、まず開発・運用に関わる組織・企業がIoTの性質を理解した上で基本方針を策定する必要があります。方針が定まっていなければ対策に必要な意思決定も行われなくなるため、必ずはじめに取り組むようにしましょう。適切な基本方針とするためには、経営層もIoTにひそむリスクを認識し、自社も被害に遭う可能性があることの自覚を促すのが重要です。

基本方針を策定したら、具体的なリスクの確認と分析を行います。基本的な流れは以下のとおりです。

まずは「なにを守るべきなのか」を整理した上でリスクの内容や影響範囲を想定し、「どうすれば被害を防げるのか」を考えるところまでがこのプロセスの持つ役割だと言えます。

この段階では確認・分析で導き出した対策案をより具体的なものへブラッシュアップします。このときに重要なのは「守るべきものを守るための設計」という考えにもとづいて進めることで、自社の情報や資産はもちろん、インターネットを経由してつながる相手にも配慮する必要があります。また、想定できるリスクが複数存在するため、多角的にセキュリティ対策を検討することが重要です。
「乗っ取り防止のためにパスワードは乱数に設定する」「認証に複数回失敗した場合は制限の対象とする」など対策方法はさまざまなので、実現性やコストの面も含めて検討することで適切な設計につながるでしょう。

機器をインターネットに接続するIoTでは、機器そのものに対する対策だけではセキュリティが十分とは言えません。安心・安全な通信を実現するためには、IoTの機能や用途に応じたネットワーク接続方法はもちろん、通信の暗号化や認証機能、ファイル・データベースの暗号化などの対策の検討が欠かせません。
また、開発時に実施するセキュリティ対策だけでなく、IoTの設置者や使用者が安全に運用していくためのマニュアル・ガイドラインの作成もこの段階で検討するようにしましょう。

IoTは運用開始後に新たなセキュリティリスクが発見されるケースに代表されるように、適切な運用・保守を継続してこと安心・安全な状態を維持できるものです。IoT機器はものによって10年以上の運用が見込まれることもありますが、その間に機器が故障する可能性があるだけでなく、時間の経過とともに環境も変化していきます。そうした中で新たなマルウェアや攻撃手法が生まれることも十分に考えられるため、状況に応じてセキュリティ対策を追加・更新していく必要があるでしょう。
設計段階で運用・保守を見据えた内容を盛り込んでおくのはもちろん、機器に組み込むソフトウェアの更新機能も準備しておくことが大切です。

IoT機器はさまざまなセキュリティリスク・脅威にさらされており、開発・運用にあたってはセキュリティ対策に注力する必要がありますが、適切なセキュリティ対策の実現には専門知識や経験が求められるため、すべてを自社でまかなうのは難しいのも事実です。また、IoTの開発・運用はセキュリティ以外の要件も多いので、専門家のサポートを活用するのが安心でしょう。社内にIoTに精通した人材がいない場合は、専門会社への外注も検討することをおすすめします。

つづいては、システム開発を外注した際にかかる費用相場をご紹介します。

システム開発の費用相場をご紹介しました。より正確な費用を知りたい方は料金シミュレーターをご利用ください。

モノとインターネットをつなぐIoTは日常生活だけでなく、ビジネスにおいてもさまざまなメリットをもたらす技術です。しかしデバイスやネットワーク、プラットフォームなどIoTを構成する技術は多岐にわたり、セキュリティ対策への注力も欠かせません。安心・安全かつ実用性の高いIoT開発・導入を叶えたいのなら、プロへの外注も含めて検討すべきでしょう。
「PRONIアイミツ」では、貴社の目的やご要望などをうかがった上で複数のシステム開発会社のご紹介が可能です。IoT開発・導入についてお悩みの方は、お気軽にお問い合わせください。

【相談前にまずは会社一覧を見たいという方はこちら】
システム開発会社一覧
【費用感を知りたいという方はこちら】
システム開発の費用・相場