広がるIoTの活用

IoTデバイスには、スマートフォンやスマート家電、ネットカメラといった身近な消費者向けのデバイスから、製造工場などで使われる製品管理用のセンサー、また車、建物までが含まれる。その形態や大きさはさまざまだが、デバイスの数は日に日に増え続けている。

IDCの調査によれば、2025年にはIoTデバイスの数が416億台に達し、これらのデバイスが79.4ZB(ゼタバイト=10億テラバイト)のデータを生み出すようになるという。もっとも、データの大部分を占めるのはビデオ監視アプリケーションからの映像データだが、産業分野や医療関連のデバイスも多くのデータを生み出すようになると指摘されている。

総務省が公開している情報通信白書(平成30年版)でも、IoT時代の到来を指摘。今後の大きな成長が見込める分野として、コネクテッドカーの普及によってIoT化が進展する「自動車・輸送機器」、デジタルヘルスケア市場が拡大している「医療」、スマート工場やスマートシティーが拡大する「産業用途(工場、インフラ、物流)」を挙げた。

こうした用途の例として、東京国際エアカーゴターミナル(TIACT)では、羽田空港内におけるドーリー(搬送機器)の位置管理を目的に、京セラコミュニケーションシステム(KCCS)の位置管理サービス「IoT Tracker」を導入。空港内のドーリーにIoTデバイスを装着することにより、任意のタイミングでドーリーの位置情報を把握し、効率の良い荷役業務とドーリーの滞留・散在防止を行えるようにしている。

また新たな分野としては、ドローンの活用も増えているという。東京電力パワーグリッドでは、山岳地域やへき地での送電線の保守においてIoTを活用し、ヘリコプターやドローンで撮影した画像を基に、AIを利用して送電線の外観を分析。異常を検知して保守の効率向上に生かしているという。

このほか、辛子めんたいこのふくやでは、「ふくやIoT」というユニークなサービスのモニター募集を2019年4月に行った。家庭に設置した専用機器で毎日めんたいこの消費量を送信し、なくなる前に自動で配達してくれるというサービスだが、これも通信機能がなければ生まれなかった新時代のメニューと言えるだろう。

攻撃者に狙われるIoTデバイス

しかし、IoTの普及で考えなくてはいけないことがある。それはIoTデバイスのセキュリティ確保だ。

IoTの対象となるデバイスは、自動車のような大きなものから、ビーコンやセンサーを搭載した小さなものまで幅広い。これまで、こうしたデバイスの多くはインターネット、セキュリティといったものとは全く無縁だったことから、きちんとセキュリティ対策が施されているとは言い難い状況にある。

既に、IoTデバイスに対するさまざまな攻撃が確認されている。IoTデバイスが直接狙われるケースももちろんあるが、踏み台として利用されるケースも増えてきた。中でも有名なものは、2016年に猛威を振るったマルウェア「Mirai」だろう。

MiraiはIoTデバイスをターゲットとするマルウェアで、ルーター、デジタルビデオレコーダー(DVR)、Webカメラ、監視カメラなどのデバイスに感染する。ユーザー名とパスワードをデフォルトのまま使用しているIoTデバイスでボットネットを構築し、DDoS攻撃に利用するのだ。

具体的な被害例としては、2016年10月、Twitter、PayPal、Reddit、Amazon、Netflixなどが利用していたDNSサービスプロバイダーの米Dyn社に対して、Miraiのボットネットから大規模なDDoS攻撃が仕掛けられ、これらのネットサービスの顧客が大きな影響を受けた。

2017年にはIoT機器の脆弱(ぜいじゃく)性を突いて機器を乗っ取る「Reaper」も登場。数百万台のネットワーク機器が感染したといわれている。

こうしたIoTデバイスへの攻撃は今も収まっていない。Miraiについては、今でもまだ新しい亜種が報告されているし、エフセキュアが公開している2019年上半期の攻撃トラフィックレポートによれば、2019年上半期(1月~6月)にはIoTへの攻撃の強度が高まっていたとのこと。

同社では、「Miraiの登場から3年が経過しているが、これらのアウトブレークで引き起こされた問題がまだ解決されていないことが分かりました。IoTの不安定さがますます深刻になりつつある一方、次々に登場する多くのデバイスがボットネットによる攻撃を受けています」と、警鐘を鳴らしている。

セキュリティを考慮したIoTを提供するために

もちろん、業界もただ手をこまねいているわけではない。IoTの性質とセキュリティ対策の必要性を踏まえ、セキュリティ確保の観点から求められる基本的な取り組みを明確化するため、IoTセキュリティに関するガイドラインが提供されている。

例えば、セキュリティベンダーであるトレンドマイクロが2016年10月にリリースした「IoTセキュリティガイドライン」では、IoTを構成するシステムが侵害された場合、それらを利用する一般消費者の生活にも影響を及ぼす被害が発生するリスクがあるという点を指摘。システムを包括的に保護するために、クラウド、ネットワーク、デバイスの三層それぞれの過程でセキュリティ対策を実施するのが有効だとしている。

また経済産業省および総務省の「IoT セキュリティガイドライン ver 1.0」(2016年7月)では、IoT機器の開発からIoTサービスの提供までの流れを、「方針」「分析」「設計」「構築・接続」「運用・保守」の5段階に分けたうえで、それぞれについて、「IoTの性質を考慮した基本方針を定める」「IoTのリスクを認識する」「守るべきものを守る設計を考える」「ネットワーク上での対策を考える」「安全安心な状態を維持し、情報発信・共有を行う」の五つの指針を示した。

一方では、IoTデバイスを開発するメーカーなどを支援するために、IoTセキュリティソリューションを提供する事業者も増えている。IoTセキュリティ製品に注力しているNECでは、デバイスのセキュリティ設定・管理を自動化する製品や、アクセス制御製品などに加えて、ハードウェアリソースが限定されている非力なIoTデバイスでも利用できるような軽量暗号開発キットなど、さまざまな製品をラインアップしている。

また、サイバートラストでは、機器ごとに埋め込んだ固有鍵を利用してIoT機器を認証する「セキュアIoTプラットフォーム」を提供。IoT機器製造時からソフトウェアの更新、そして廃棄までのライフサイクル全般にわたって安全に利用できる仕組みを用意した。

IoTデバイスは、PCなどと比べて長期にわたって利用されるほか、適切に管理されない状態で存在し続けるものも多いことが指摘されており、利用されなくなったデバイスの通信停止、廃棄も大きな問題とされている。

IoTは、効果的な活用によって業務や生活を大きく変えることができる可能性を持つ。しかし製品・ソリューションを提供するうえでは、こうしたライフサイクル全般におけるセキュリティを考慮していく必要があるだろう。

【仕事が変わる】AI・IoT・RPA特集(即効! ITライブラリー)

  • * 本稿に記載された各種IT製品、テクノロジーにつきましては、記事制作時の技術動向に関する幅広い知見を基にして構成されています。これは制作を担当したクラウドWatch編集部(株式会社インプレス)の所見であり、大塚商会においてお取り扱いのないものも含まれております。あらかじめご了承いただきますようお願いします。