「IoTのセキュリティ」はみんなの問題：組み込み開発視点で見る「IoTの影」（2）（3/3 ページ）

IoTや類似するシステムは既に身の回りに多数存在する。今回はレーダー情報の可視化というIoT的なシステムである「天気予報」から、IoTの想定されるリスクと対処法について考察してみたい。

[松岡 正人，TechFactory]

ネットワークカメラやテレビが攻撃に使われる時代、開発者が執れる手は

　今ではPCやサーバが攻撃され、知らないうちに攻撃者の支配下に置かれることがある。例えば、現在販売されているテレビの多くには「インターネットの情報を検索する」「YouTubeを閲覧する」などの機能が搭載されており、これらはLinuxなどのOSを搭載し、Webブラウザなどインターネットサービスを利用するためのアプリケーションが動作している。これらはテレビとして販売されているが、もはやPCと言ってもいい。内包する危険性においても同様だ。

　同じようにインターネットに接続するための無線ルーターやHDDレコーダーなど、インターネットとつながることで新しいサービスを提供している家電のほとんどが、悪意ある第三者によって悪用される可能性がある。そして、ついに大規模な事件が発生した。

　インターネットセキュリティの著名な研究者であるBrian Krebs氏の個人ブログをホストしていたAkamaiはKrebs氏のブログに対する史上最悪のDDoS攻撃の標的となり、毎秒75GBのランダムデータを数時間にわたって送り続けられたのだ。攻撃元はネットワークカメラなどのIoTデバイスだとされている（関連記事：セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも）。

　日本国内ではネットワークカメラ、複合機がインターネットに公開されたまま接続されていた問題が報道されたが、ユーザーのサイバーセキュリティの意識が低いことで悪用可能な機器は今後増え続けると思われる。

　筆者も参加するJNSA（日本ネットワークセキュリティ協会）のIoTセキュリティワーキンググループは2016年6月に、ユーザー意識が改善されるのを待つのではなく、IoT機器を販売提供するベンダーが何らかの対策を行う必要性を「コンシューマ向けIoTセキュリティガイド」として提案させていただいた。是非参照していただきたい。大変残念ではあるがコンシューマー向けの製品にも、サイバーセキュリティ対策が必要な時代になったのである。

・コンシューマ向けIoTセキュリティガイド（日本ネットワークセキュリティ協会）

　私たちがガイドを作り上げる際の長い議論の過程で理解したのは、セキュリティ対策のためのユーザー負担を減らし、しかも、ユーザーが意識しなくともセキュリティの向上が図られることが求められており、今まさに、より安全なインターネット環境を実現するための現実的かつ短期的な選択肢が必要だということである。

　このガイドは組み込み開発者にも読んでほしいと考え、1年あまりかけて作成した苦心の作でもある。