Webサービス事業者必見！総務省発表「IoTセキュリティ総合対策」のポイントを解説

Webサービスを提供している企業だけでなく、あらゆる商品やサービスを展開している企業にとってIoTは身近な存在となっています。
一方で、Webにつながった機器が増えたことで、ウィルス感染やサイバー攻撃などの危険性も指摘されてきました。
そんな中、国の方針に従い、総務省ではIoT機器向けのセキュリティ対策を明らかにしています。

今回は、総務省が2017年10月3日に発表した「IoTセキュリティ総合対策」から、国が行うIoT機器におけるセキュリティ対策のポイントを解説します。
製造業であれば複数の工業機械の制御をWeb上で管理したり、健康機器メーカーであれば自社の体温計にWeb接続サービスを付随したりと、Webと機器をつなぐ動きは加速しています。今後、国が行う施策を知り、自社のIoT活用にどういった影響が出るのか把握しておきましょう。

IoTとセキュリティの関係性

あらゆるモノがWebにつながることを指す「IoT」は社会にも広く浸透しています。
スマートフォンに画像を送れるデジタルカメラやアプリで記録できる体温計など、普段の生活の中でIoT機器を見かけたことがある方は多いでしょう。

引用：平成28年版 情報通信白書インターネットに接続する様々なモノの拡大
総務省

総務省が発表している『平成28年度情報通信白書』によると、2013年時点では世界で112億3千万個流通していたIoT端末も2017年時点では201億6千万個にまで増加しています。
2020年には300億個を超えるという予測もあり、急速にIoTが進んでいることがわかるでしょう。

世界のIoT 端末130万台がウィルス感染している？

急速に広がるIoTはセキュリティ上の危険も指摘されています。
横浜国立大学大学院環境情報研究院の吉岡克成准教授の研究によると、世界中のIoT端末のうち2016年11月時点で130万台がウィルスに感染していることがわかりました。

パソコンやスマートフォンと比較して、IoT機器はセキュリティレベルが低いため、ハッカーにとって狙いやすい対象となってしまっています。端末からWebを経由して他の端末へと感染が広がる可能性もあり、危険性は軽視できるものではないしょう。

実際、IoT機器を取り扱うメーカーの中にはセキュリティ対策に乗り出している企業もいます。このようなIoT機器を製造・販売する側だけでなく、使用する側もセキュリティ対策を考える必要があります。
工場内の機械や顧客管理とといった重要なシステムにIoT機器が接続している場合は、特に注意が必要でしょう。

参考：
実はウイルスまみれ､｢IoTデバイス｣の危険性 | インターネット | 東洋経済オンライン
[IoT機器をサイバー防衛　パナソニックなど連合｜日本経済新聞] (https://www.nikkei.com/article/DGXLASDZ05HOV_V00C17A7MM8000/)

総務省発表「IoTセキュリティ総合対策」のポイント

急速に広まるIoTに対して、総務省では今後行っていくセキュリティ対策を公開しています。その中でも、特に企業にとって注目しておきたいポイントを紹介します。今後のIoT市場にも関わってくることなので、IoTに関わることがある方は参考にしてみましょう。

参考：
[「IoTセキュリティ総合対策」の公表｜総務省] (http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html)

対策1.認証制度の実施

総務省ではIoT機器におけるセキュリティ対策として、パスワード設定のルールや使用するWi-Fiに合わせた設計など、セキュリティ上の基準を満たした製品に対して認証を与える仕組みづくりをあげています。

IoT機器のウィルス感染被害拡大を防ぐためには、セキュリティ上の脆弱性を抱えた機器を流通させないことが重要となります。
そのため、総務省では、特定の基準を満たした商品には認証マークを与え、かつ発売後も新たなウィルスやサイバー攻撃の手口に対応できているか定期的にチェックすることを対策に盛り込もうとしています。

一方で、家庭用のIoT機器から医療用機器、社会インフラに関わるものまで、IoT機器には多様な種類があります。総務省では、そのような幅広い内容の機器に対して、どの端末を認証制度の対象とするかは今後の検討事案としています。

参考：
[IoT機器に関する脆弱性調査等の実施｜総務省] (http://www.soumu.go.jp/menu_news/s-news/02ryutsu03_04000088.html)

対策2.サイバー攻撃の踏み台となるおそれがある機器に関する脆弱性調査

アプリで操作できる照明やエアコンなど、家庭用のIoT機器がウィルスに感染してもそこまで影響は大きくないと考えている方もいるかもしれません。
ですが、こういった機器がサイバー攻撃の対象となると、機器からネットワークへと感染を広げてしまう可能性があります。

そのため、総務省ではサイバー攻撃の踏み台となる恐れがある機器に対して、サイバー攻撃観測網を利用して幅広い調査を行うことを対策として挙げています。
中でも、総務省では、SHODAN や Censysといった海外のデータベースに頼った調査では信頼性が薄いため、独自のデータベースを構築する必要性を挙げています。

対策3.税制優遇を含む民間企業に対するセキュリティ対策支援

民間企業のIoT機器がウィルス感染した場合、その取引先や協力企業にまで感染が広がる危険性があります。ですが、セキュリティ対策への資金が抽出することができず、結果として脆弱性を抱えた機器やシステムを利用してしまうといったこともあるでしょう。

そのような現状に対して総務省では、民間企業のセキュリティ対策への投資支援として、セキュリティ対策費への税制優遇を挙げています。

また、このようなセキュリティ対策支援は民間企業でウィルス感染が広がるのを防ぐだけでなく、セキュリティ対策サービスを提供する企業への支援にもつながるとしています。

参考：
[2020 年及びその後を見据えたサイバーセキュリティの在り方について－サイバーセキュリティ戦略中間レビュー－ ｜内閣府サイバーセキュリティセンター]
(http://www.nisc.go.jp/active/kihon/pdf/csway2017.pdf)

まとめ

総務省から発表されたIoTセキュリティ対策の最大のポイントは、IoT機器における脆弱性調査と認証制度の確立にあるでしょう。

*認証制度が生まれることで、ユーザーがIoT機器を購入する際の判断基準として認証を受けているかという視点が加わります。*IoT機器を製造・販売している事業者にとって、認証制度を受けるのか、あるいは別に認証制度を利用するのかといった判断は必要となるでしょう。

オリンピック東京大会に向けたセキュリティ対策の1つとして、IoT機器は重要視されています。今度、具体的にどういった制度に固まっていくのか注視しておくようにしましょう。