ゼロトラストとは?IoT機器のセキュリティ管理
IoTは非常に便利なシステムであり、なくてはならないものとして製造業を中心にその有用性が確立しはじめている一方、セキュリティ対策に翻弄される会社も少なくありません。従業員が使用する個人のデバイスのセキュリティを高いレベルにすることはもちろん、企業が業務用途で導入しているIoTデバイスそのもののセキュリティレベルも高くしなければ、サイバー攻撃への対応ができないとされています。
本記事では、ゼロトラストの概要やIoT時代のセキュリティ脅威についてご紹介します。従来の情報セキュリティ対策である境界防御の考え方に不安を感じている方や、ゼロトラストについて学びたい方は、ぜひ参考にしてみてください。
ゼロトラストとは? 加速するサイバー攻撃
ゼロトラストとは、データや情報にアクセスしようとするトラフィックのすべてを一旦疑い、都度安全性を検証してからアクセスさせるネットワークセキュリティモデルです。「一切を信用しないシステム」として話題に上がることもあり、ネットワーク上に「境界」を設けることによる従来のセキュリティ対策から一線を画すものとして誕生しました。
ソフトウェア開発やアプリケーション開発を行う企業がどれだけ高いレベルのセキュリティを搭載しても、同時にサイバー攻撃の手法も日に日に悪質化し、イタチごっこになっていることが問題視されており、実際に情報流出による信頼低下を招いた企業も少なくありません。そのため、「どんなに対策しても新たなリスクが生まれる」という危機感が根付き、ゼロトラストという新しいセキュリティモデルが登場しました。
こうした時代のニーズに合わせて生まれたゼロトラストは、ネットワーク環境下にデータ保存するクラウドサービスの広がりと共に浸透しました。近年のデジタルトランスフォーメーションに着手する多くの企業に注目されるようになり、年々IoTへの導入も増えています。
IoTセキュリティの問題
ここでは、IoTセキュリティの問題点をピックアップしてご紹介します。
IoTデバイスを使用する際に、安易に選んで導入したセキュリティソフトでは十分とは言えない可能性があります。ここからは、業務や生活の根幹に関わるIoTデバイスにこそ、高レベルなセキュリティ対策を取り入れる必要がある理由を探り、意義を理解していきましょう。
デバイス側の容量に左右される
IoTを利用する端末は、常にパソコン・スマートフォン・タブレット並みの高性能なCPUを搭載しているとは限りません。安価なスマートスピーカーなどが増えており、より暮らしと密着する利便性を演出できるよう、年々小型化も進んでいます。それに伴い、電力消費もパフォーマンスレベルも小さくなりやすく、小容量になることが考えられます。
性能が低かったり小容量だったりすると、デバイス側でセキュリティにかけられる十分な容量がなく、物理的にセキュリティ対策できない可能性が出てくるのです。
デバイスによっては増設で容量を増やす方法もありますが、どうしても容量の増加が見込めない場合、デバイス認証を強化するなどして対策しておく必要があるでしょう。
製造業におけるリスクが高い
製造業は、特にIoTデバイスがリスクにさらされやすい業界として知られています。少子高齢化による労働人口減少が影響し、人手不足に悩まされる製造業では、IoTやAIなどの先進技術を用いた工場への転換、つまりスマートファクトリー化が注目されるようになりました。
スマートファクトリー化により業務効率化はもちろん、3Dプリンターのログ・トラックのGPS追跡情報、自動車のマルチメディアシステムや産業用ロボットを管理する工場が多くなり、社内にデータが蓄積しやすくなった点がメリットと言えるでしょう。IoTも同様に導入され、業務効率を格段に向上させるツールであるとして、多くの企業から支持されています。
しかし、メリットばかりに目を向けてしまい、デメリットであるセキュリティ対策に着手しきれていない企業も多いのが現状です。サイバー攻撃を受けた場合、工場内機器がウイルスに感染して全生産ラインが停止するなど、サプライチェーン全体で多大なる被害が出ることを考えておきましょう。
リモートワーク現場への導入が遅れている
働き方改革や新型コロナウイルス感染対策として、リモートワークに取り組む企業が短期間のうちに急増しました。自宅やコワーキングスペースで働けるというメリットがある一方、社員個人にセキュリティ管理が任されることで、ヒューマンエラーによる情報流出などが問題になることも増えています。当然、サイバー攻撃など外部からの侵入にも弱くなり、オフィスレベルのセキュリティが構築できない場合もあるでしょう。
IoT分野においても、デバイスの状態をリアルタイムで可視化し、リスクを正しく分析していく必要があります。大きな被害を受けてからサイバー攻撃を受けていたことに気づくことのないよう、万が一のトラブルを事前に検知し、シャットダウンできるシステムづくりを意識していきましょう。
IoT脅威への対策
ここでは、IoTデバイスをサイバー攻撃から守るため、安全性を高める対策法を紹介します。
ゼロトラスト以外にも複数の対策を導入することでより高いセキュリティレベルにできるため、後悔することのないよう事前に把握しましょう。
ゼロトラストの採用
ゼロトラストは、従来の境界型セキュリティよりも、セキュリティ性の高い環境にすることが可能です。
社内ネットワークからのアクセスであっても簡単には通さず、すべてのアクセスを精査します。
信頼性と安全性の高いアクセスのみに許可を与えるため、情報漏えいはもちろん、データ改ざん・不正コピーなどへの対策としても有効です。そのため、クラウド上で社内情報を管理している会社や、ナレッジやノウハウの収集・蓄積・分析をソリューションツールに頼っている会社と相性がいいでしょう。
万が一トラブルが発生したときのダメージが大きいIoT分野においても、ゼロトラストの導入が急務とされています。VPNやファイアウォールなどの導入が要らず、複雑な設定が必要ないことも、ゼロトラストのメリットです。
デバイスの可視化
自社ネットワークにつながっているすべてのデバイスを可視化し、アクセス元を明らかにしておくこともおすすめです。また、デバイスごとのアクション履歴を遠隔でチェックできるような機能が搭載されていれば、更に高いセキュリティを構築しやすくなるでしょう。
ITツールが盛んに使われるようになり、中にはプライベート用のスマートフォンで社内情報にアクセスするシーンも確認されるようになりました。ビジネスセンターやインターネットカフェのような公共のパソコンからアクセスしたり、パスワードのない公共Wi-Fiから参照したりと、セキュリティ上問題のある行動をすることもあるでしょう。
こうしたシーンを想定して、万が一の事態を防ぐためにデバイス管理を徹底し、社用デバイスを支給するなどして対策することが効果的です。
デフォルトのパスワード変更
基本対策の一環として、デフォルトパスワードを変更する方法があります。推測しやすい文字・数字列を避けたり、定期的に変更したりと外部からのアクセスを遮断しましょう。
また、第二パスワードを設けるなどして二要素認証を取り入れ、万が一サイバー攻撃の対象になっても簡単にはアクセスさせない取り組みも重要です。パスワードは必ずしも変更できるとは限りませんが、可能であれば対策しておいた方がより安心感が高まります。
会社としての信頼を上げるゼロトラスト
IoTのセキュリティ対策は、多くの企業にとって重要かつ急務の課題です。便利だからといってツールやソフトウェアの利用ばかりが先行し、セキュリティ対策がなおざりになった場合、多大なる損失が出る可能性があるでしょう。自社だけではなく取引先や利用ユーザーにも影響するため、リスクを正しく計算しておく必要があります。
まずはゼロトラストの概念を学び、セキュリティ構築を始めていきましょう。従来の境界型セキュリティと一線を画す最新セキュリティ体制を取り入れることができれば、会社としての信頼性向上につながります。