IoTセキュリティとは

IoTデバイスとは

IoTデバイスとは、インターネットに接続し、データを収集して送信できるデバイスのことです。これには、製造、医療、小売などの業界で幅広く使用されている膨大な数の産業用機械、センサー、スマート デバイスなども含まれます。IoTデバイスは、データの収集と統合、自動化と時間節約対策による効率性の向上、リモートでの監視と操作の実行で組織を支援します。

モノのインターネットのメリットとデメリット

IoTデバイスは、あらゆる組織に次のようなメリットをもたらします。

• リアルタイムのデータとインサイト：IoTデバイスはリアルタイムのデータを収集して分析することで、組織が情報に基づいた意思決定を行えるようにします。
• 効率性と生産性の向上：データの収集と処理が自動化されるため、従業員は他の重要な業務に集中できます。
• コスト削減と収益向上：意思決定の強化、時間の節約、生産性の改善が可能になり、支出を削減して収益を向上させることができます。

しかし、ビジネスの観点から次のような懸念もあります。

• セキュリティとプライバシーのリスク：IoTデバイスに組み込まれたセキュリティは十分ではない場合が多く、また、他の手段で保護したり、アップデートしたりすることも簡単ではありません。こうした状況にもかかわらず、IoTデバイスは大量のデータを処理して保存しています。
• 進まない標準化：IoTデバイスは多種多様なプロトコル、オペレーティング システム、コード言語、ハードウェアを利用しているため、セキュリティが複雑になり、他のシステムとの互換性に問題が生じる可能性があります。
• 可視性の課題：ネットワーク上のIoTデバイスの大部分がIT部門に把握されていない可能性があります。これがシャドーITとして知られる問題です。組織が効果的に監視できていない場合、こうしたデバイスは簡単には検出できません。

IoTは多くのメリットを実現する一方、セキュリティ リスクを増大させる恐れもあります。この事実を理解して、防御を強化するための最善の方法を把握しておく必要があります。

IoTセキュリティが重要な理由

大量のIoTデバイスが企業ネットワークと通信するようになったことで、組織の攻撃対象領域は拡大の一途をたどっています。こうしたデバイスのほとんどはIT部門の管理をすり抜けています。同時に、ハッカーは新たな攻撃ベクトルを利用して侵略的で巧妙なサイバー攻撃を仕掛けています。

ハイブリッド ワークの普及によって、オフィスで作業する従業員は減少傾向にありますが、IoTデバイスはネットワークに接続されたままとなっています。データ収集端末やネットワーク プリンターなどはデータの更新、機能の実行、コマンドの待機を続けており、侵害の危険にさらされています。

IoTのセキュリティやポリシーを十分整備できている組織はほとんどありません。しかし、効果的なゼロトラスト アーキテクチャーとポリシーを実装すれば、どんな組織でもIoTのセキュリティ態勢を改善できます。

IoTセキュリティが必要な業界

簡単に言えば、IoTシステムを使用する組織はIoTセキュリティ ソリューションに投資する必要があります。当然のことながら、攻撃を受けるリスクが最も高いのはインターネットに接続されたテクノロジーを最大限活用している組織です。具体的には、テクノロジー、製造、小売/卸売、医療の業界で、これらの業界を標的としたIoT攻撃が98%にものぼることがZscalerの調査で明らかになっています。

IoTセキュリティの仕組み

安全なIoTエコシステムを維持するには、デバイス自体のセキュリティに加え、デバイスが接続するネットワーク、データの保存と分析を行うクラウド、クラウド サービスのセキュリティを考慮する必要があります。IoTセキュリティ全体を強化する代表的な対策をいくつか見てみましょう。

IoTセキュリティの種類

IoTセキュリティは、いくつかのカテゴリーに分けて考えることができます。

• デバイスのセキュリティ対策は、安全なブート手順を保証することでデバイスをサイバー攻撃から保護します。具体的には、脆弱性のパッチ適用など安全なファームウェアのアップデートを確実に行い、安全な通信プロトコル(TLS/SSLなど)を利用します。多くのデバイスのセキュリティ対策には、組織のIT部門が行うデバイスの保守、更新、監視などのデバイス管理も必要です。
• ネットワークのセキュリティ対策として、デバイスやネットワークへの不正アクセスをブロックするファイアウォール、ユーザーとデータ センター間でのインターネット通過時にデータを暗号化するVPN、サイバー攻撃を検出して防止する侵入防止システム(IPS)、分散型サービス拒否攻撃を阻止するDDoSセキュリティなどが挙げられます。
• クラウドのセキュリティ対策には、データ ストレージの保護、アクセス制御、暗号化などが含まれます。多くのIoTデバイスは収集したデータをクラウドに保存するため、データを適切な場所に保管するための強力なセキュリティ、暗号化、認証が不可欠です。

もう1つの対策は、IoTセキュリティだけに限定されるものではありませんが、IoTデバイスを保護するうえで重要な鍵となるものです。それは、許可されたユーザーとデバイスのみがIoTデータにアクセスできるようにする、アイデンティティーとアクセスの強力な管理です。

IoTセキュリティの主な課題

デジタル トランスフォーメーションを成功させるうえで、IoTデバイスは大きな役割を果たします。そのため、世界中で急速かつ広範囲に普及していますが、残念ながらその性質上、重大なセキュリティ上の課題を生み出す恐れもあります。

IoTデバイスには十分なセキュリティ対策が実装されておらず、多くのデバイスは独自の保護機能をほとんど備えていません。これには次のような理由が考えられます。

• 多くのデバイスにはメモリーと処理能力に制限があるため、ファイアウォールや暗号化などのセキュリティ対策を簡単に実装できない。¹
• 工場出荷時のデフォルトのログイン認証情報は脆弱である場合が多く、攻撃者に簡単に破られる可能性が高い。この点が見落とされると、重大な脆弱性につながる。
• 古いデバイスに対するベンダーのサポートが十分でないと、ファームウェアやソフトウェアでセキュリティの重要なアップデートが遅れる可能性があり、デバイスにパッチを適用できない場合がある。
• デバイス全体の標準化が困難という新しいテクノロジーに共通する課題により、1つのセキュリティ ソリューションですべてのIoTを保護できない場合がある。

IoTデバイスはデバイス自体のセキュリティ以外に、セキュリティと運用にも次のような問題を生じさせる可能性があります。

• デバイスはネットワークやクラウドだけでなく、デバイス同士で通信するため、新しい攻撃ベクトルが多く発生する。
• IoTデバイスからのデータ流入に関する問題が拡大したことで、既存のITインフラとセキュリティ インフラに過大な負担をかける可能性がある。
• 個人情報や知的財産などのデータの収集に関するプライバシーの懸念があり、特にどのようなデータが収集され、どのように使用されるのかが明確ではない場合、この懸念が強い。

IoTセキュリティの主な脅威

IoTデバイスにより、組織はランサムウェア、データ侵害、DNSトンネリングなどの戦術に対して脆弱になる可能性がありますが、IoTを悪用する脅威の圧倒的多数はボットネット マルウェアです。

ボットネットは攻撃者の制御下にあるデバイスのネットワークであり、大規模な協調攻撃を実行し、これまでもDDoS攻撃、金銭的侵害、クリプトマイニング、標的型侵入などに利用されてきました。

DDos攻撃に利用されるIoTデバイス

DDoS攻撃では、ボットネットが標的のWebサーバーまたはネットワークに対し、正規のリクエストを処理できなくなるほどの大量のトラフィックを送信します。IoTデバイスは前述のセキュリティ上のデメリットがあり、インターネット経由で簡単にアクセスできるため、ボットネットの増殖を狙う攻撃者にとって格好の標的となっています。攻撃者は侵害した大量のIoTデバイスを用いて、準備の整っていないサーバーを大混乱に陥れます。

IoTセキュリティのベスト プラクティス

機密データとアプリケーションを脅威から守るには、IoTデバイスが攻撃の侵入口とならないようなアクセス ポリシーを設定することが重要です。次のようなベスト プラクティスが推奨されます。

• ネットワーク デバイスを追跡して管理する。組織が管理対象外のIoTデバイスを許可している場合、エンドポイント エージェントだけでは完全な可視性を得られません。ネットワーク上で通信するデバイスを特定してその機能を把握し、防御をすり抜ける可能性のある暗号化された通信を検査できるソリューションが求められます。
• デフォルトのパスワードを変更する。工場出荷時の認証情報を使い続けると、攻撃者にデバイスを悪用されるリスクが高まります。未承認のIoTデバイスではパスワードを管理できない場合がありますが、管理対象のIoTにおいては、パスワードの変更は最初の基本ステップです。また、従業員が職場に持ち込むデバイスについてのセキュリティ トレーニングの一環としても、これを行う必要があります。
• 最新のパッチとアップデートを適用する。特に製造や医療などの業界は、日々のワークフローの中でIoTデバイスを活用しています。これらの承認済みのデバイスについては、新たに確認された脆弱性に関する最新情報を常に把握し、最新のデバイス セキュリティを維持します。
• ゼロトラスト セキュリティ アーキテクチャーを実装する。暗黙の信頼のポリシーを排除し、動的なアイデンティティーベースの認証で機密データへのアクセスを細かく制御します。また、インターネット アクセスを必要とする未承認のIoTデバイスとの間のトラフィックをすべて検査し、プロキシを介してすべての企業データからそれらのデバイスをブロックします。ゼロトラストは、未承認のIoTデバイスがネットワークの脅威となることを阻止する唯一の効果的な方法です。

ZscalerでIoTのセキュリティを確保

IoTはイノベーションを起こす可能性を大いに秘めていますが、同時にリスクも増大させます。そのメリットを最大限に活かし、リスクを最小限に抑えるには、IoTのセキュリティを徹底する必要があります。Zscaler Privileged Remote Accessは現場や工場フロアなど、どこからでもIoT (産業用IoTなど)および運用技術(OT)資産に高速で安全に直接アクセスできるようにします。

業界唯一のゼロトラストベースのIoT、IIoT、OT向けアクセス ソリューションであるZscaler Privileged Remote Accessにより、リモート ワーカーやサードパーティー ベンダーは機密性の高いプライベート アプリ、リモート デスクトップ、運用システムへのクライアントレス アクセスが可能になります。管理対象外のデバイスにクライアントをインストールしたり、ジャンプ ホストやVPNにログインしたりする必要はありません。このソリューションは、次のようなメリットを実現します。

• 稼働時間と生産性の向上：インラインのゼロトラスト セキュリティによる直接接続は、機器への接続や修理のスピードを加速させ、ダウンタイムを最小限に抑えます。従来のVPNやPAM製品を介した低速でコストのかかるバックホールは一切発生しません。
• 人とシステムの安全性の向上：インサイドアウト接続によって、OTネットワークとシステムがインターネットから見えなくなるため、生産プロセスを混乱させようとする悪意のある人物に資産が発見されたり、悪用されたりすることはありません。
• 卓越したユーザー エクスペリエンス：Webブラウザーからクライアントレスでアクセスできるため、リモート ワーカーだけでなく、サードパーティーのベンダーや請負業者も従来のVPNのような煩わしさを感じることなく、OTシステムに簡単にアクセスできます。

統合プラットフォームは、プライベート アプリやワークロード、IoT/OTデバイスにまで安全なゼロトラスト アクセスを拡張し、複数のリモート アクセス ツールを集約してセキュリティとアクセス ポリシーを統合することで、複雑さを軽減し、侵害を阻止します。