IoTセキュリティとは

IoTデバイスとは

IoTデバイスとは、インターネットに接続し、データを収集して送信できるデバイスのことです。これには、製造、医療、小売などの業界で幅広く使用されている膨大な数の産業用機械、センサー、スマート デバイスなども含まれます。IoTデバイスは、データの収集と統合、自動化と時間節約対策による効率性の向上、リモートでの監視と操作の実行で組織を支援します。

IoTのメリットとデメリット

IoTデバイスには次のようなメリットがあります。

• リアルタイムのデータとインサイト：IoTデバイスはリアルタイムのデータを収集して分析することで、組織が情報に基づいて意思決定できるようにします。
• 効率性と生産性の向上：データの収集と処理が自動化されるため、従業員は他の重要な業務に集中できます。
• コストの削減と収益の向上：意思決定の強化、時間の節約、生産性の改善が可能になり、支出を削減して収益を向上させることができます。

しかし、ビジネスの観点から次のような懸念もあります。

• セキュリティとプライバシーのリスク：IoTデバイスに組み込まれたセキュリティは十分ではない場合が多く、また、他の手段で保護したり、アップデートしたりすることも簡単ではありません。こうした状況にもかかわらず、IoTデバイスは大量のデータを処理して保存しています。
• 進まない標準化：IoTデバイスは多種多様なプロトコル、オペレーティング システム、コード言語、ハードウェアを利用しているため、セキュリティが複雑になり、他のシステムとの互換性に問題が生じる可能性があります。
• 可視性の課題：IT部門はネットワーク上のIoTデバイスの大部分を把握していない可能性があります。これがシャドーITとして知られる問題です。組織が効果的に監視できていない場合、このようなデバイスは簡単には検出できません。

IoTは多くのメリットを実現する一方、セキュリティ リスクを増大させる恐れもあります。この事実を理解して、防御を強化するための最善の方法を把握しておく必要があります。

IoTセキュリティが重要な理由

大量のIoTデバイスが企業ネットワークと通信するようになったことで、組織の攻撃対象領域は拡大の一途をたどっています。こうしたデバイスのほとんどがIT部門の管理をすり抜け、同時に、ハッカーは新たな攻撃ベクトルを利用して侵略的で巧妙なサイバー攻撃を仕掛けています。

ハイブリッド ワークの普及によって、オフィスで作業する従業員は減少傾向にありますが、IoTデバイスはネットワークに接続されたままとなっています。デジタル サイネージやネットワーク プリンターなどはデータを更新し、機能を実行し、コマンドを待機し続けるため、セキュリティ侵害を受ける可能性があります。

IoTのセキュリティやポリシーを十分整備できている組織はほとんどありません。しかし、効果的なゼロトラスト アーキテクチャーとポリシーを実装すれば、どんな組織でもIoTのセキュリティ態勢を改善できます。

IoTセキュリティが必要な業界

簡単に言えば、IoTシステムを使用するすべての組織がIoTセキュリティ ソリューションに投資する必要があります。当然のことながら、攻撃を受けるリスクが最も高いのは、インターネットに接続されたテクノロジーを最大限活用している組織です。具体的には、テクノロジー、製造、小売/卸売、医療の業界で、これらの業界を標的としたIoT攻撃が98%にものぼることがZscalerの調査で明らかになっています。

IoTセキュリティの仕組み

安全なIoTエコシステムを維持するには、デバイス自体のセキュリティに加え、デバイスが接続するネットワーク、データの保存と分析を行うクラウド、クラウド サービスのセキュリティを考慮する必要があります。IoTセキュリティ全体を強化する代表的な対策をいくつか見てみましょう。

IoTセキュリティの種類

IoTセキュリティは、いくつかのカテゴリーに分けて考えることができます。

• デバイスのセキュリティ対策は、安全なブート手順、脆弱性のパッチ適用を含むファームウェアの更新、安全な通信プロトコル(TLS/SSLなど)の使用を確実に行うことで、サイバー攻撃からデバイスを保護します。多くのデバイス セキュリティ対策には、IT部門がデバイスの保守、更新、監視を管理するデバイス管理も必要になります。
• ネットワークのセキュリティ対策として、デバイスやネットワークへの不正アクセスをブロックするファイアウォール、ユーザーとデータ センター間でのインターネット通過時にデータを暗号化するVPN、サイバー攻撃を検出して防止する侵入防止システム(IPS)、分散型サービス拒否攻撃を阻止するDDoSセキュリティなどが挙げられます。
• クラウドのセキュリティ対策には、データ ストレージの保護、アクセス制御、暗号化などが含まれます。多くのIoTデバイスは収集したデータをクラウドに保存するため、データを適切な場所に保持するには強力なセキュリティ、暗号化、認証が不可欠です。

もう一つの対策は、IoTセキュリティだけに限定されるものではありませんが、IoTデバイスを保護するうえで重要な鍵となるものです。それは、許可されたユーザーとデバイスのみがIoTデータにアクセスできるようにする、アイデンティティーとアクセスの強力な管理です。

IoTセキュリティの主な課題

デジタル トランスフォーメーションを成功させるうえで、IoTデバイスは大きな役割を果たします。そのため、世界中で急速かつ広範囲に普及していますが、残念ながらその性質上、重大なセキュリティ上の課題を生み出す恐れもあります。

IoTデバイスには十分なセキュリティ対策が実装されておらず、多くのデバイスは独自の保護機能をほとんど備えていません。これには次のような理由が考えられます。

• 多くのデバイスにはメモリーと処理能力に制限があるため、ファイアウォールや暗号化などのセキュリティ対策を簡単に実装できない¹。
• 工場出荷時のデフォルトのログイン認証情報は脆弱である場合が多く、攻撃者に簡単に破られる可能性が高い。この点が見落とされると、重大な脆弱性につながる。
• 古いデバイスに対するベンダーのサポートが十分でないと、ファームウェアやソフトウェアでセキュリティの重要なアップデートが遅れる可能性があり、デバイスにパッチを適用できない場合がある。
• デバイス全体の標準化が困難という新しいテクノロジーに共通する課題により、1つのセキュリティ ソリューションですべてのIoTを保護できない場合がある。

IoTデバイスはデバイス自体のセキュリティ以外に、セキュリティと運用にも次のような問題を生じさせる可能性があります。

• デバイスはネットワークやクラウドだけでなく、デバイス同士で通信するため、新しい攻撃ベクトルが多く発生する。
• IoTデバイスからのデータ流入に関する問題が拡大したことで、既存のITインフラとセキュリティ インフラに過大な負担をかける可能性がある。
• 個人情報や知的財産などのデータ収集に関するプライバシーの懸念があり、特にどのようなデータが収集され、どのように使用されるのかが明確ではない場合、この懸念が強い。

IoTセキュリティの主な脅威

IoTデバイスにより、組織はランサムウェア、データ侵害、DNSトンネリングなどの戦術に対してより脆弱になる可能性がありますが、IoTを利用する脅威の圧倒的多数はボットネット マルウェアです。

ボットネットは攻撃者の制御下にあるデバイスのネットワークであり、大規模な協調攻撃を実行します。これまでもDDoS攻撃、金銭的侵害、クリプトマイニング、標的型侵入などに利用されてきました。

DDos攻撃に利用されるIoTデバイス

DDoS攻撃では、ボットネットが標的のWebサーバーまたはネットワークに対し、正規のリクエストを処理できなくなるほどの大量のトラフィックを送信します。IoTデバイスは前述のセキュリティ上のデメリットがあり、インターネット経由で簡単にアクセスできるため、ボットネットの増殖を狙う攻撃者にとって格好の標的となっています。攻撃者は侵害した大量のIoTデバイスを用いて、準備の整っていないサーバーを大混乱に陥れます。

IoTセキュリティのベスト プラクティス

機密データとアプリケーションを脅威から守るには、IoTデバイスが攻撃の侵入口とならないようなアクセス ポリシーを設定することが重要です。次のようなベスト プラクティスが推奨されます。

• ネットワーク デバイスを追跡して管理する。組織が管理対象外のIoTデバイスを許可している場合、エンドポイント エージェントだけでは完全な可視性を得られません。ネットワーク上で通信するデバイスを特定してその機能を把握し、防御をすり抜ける可能性のある暗号化された通信を検査できるソリューションが求められます。
• デフォルトのパスワードを変更する。工場出荷時の認証情報を使い続けると、攻撃者にデバイスを悪用されるリスクが高まります。未承認のIoTデバイスではパスワードを管理できない場合がありますが、管理対象のIoTにおいては、パスワードの変更は最初の基本ステップです。また、この基本ステップを従業員向けのセキュリティ トレーニングに組み込み、職場に持ち込まれるデバイスに対しても適用させる必要があります。
• 最新のパッチとアップデートを適用する。特に製造や医療などの業界は、日々のワークフローの中でIoTデバイスを活用しています。これらの承認済みのデバイスについては、新たに確認された脆弱性に関する最新情報を常に把握し、最新のデバイス セキュリティを維持することが重要です。
• ゼロトラスト セキュリティ アーキテクチャーを実装する。暗黙の信頼のポリシーを排除し、動的なアイデンティティーベースの認証で機密データへのアクセスを細かく制御します。また、インターネット アクセスを必要とする未承認のIoTデバイスとの間のトラフィックをすべて検査し、それらのデバイスが企業データにアクセスするのをプロキシ経由でブロックします。ゼロトラストは、未承認のIoTデバイスがネットワークの脅威となることを阻止する唯一の効果的な方法です。

ZscalerでIoTのセキュリティを確保

IoTはイノベーションを起こす可能性を大いに秘めていますが、同時にリスクも増大させます。その可能性を最大限に活かし、リスクを最小限に抑えるには、IoTのセキュリティを徹底する必要があります。Zscaler Privileged Remote Accessは現場や工場など、どこからでもIoT (産業用IoTを含む)および運用技術(OT)資産に高速で安全に直接アクセスできるようにします。

業界唯一のゼロトラストベースのIoT、IIoT、OT向けアクセス ソリューションであるZscaler Privileged Remote Accessにより、リモート ワーカーやサードパーティー ベンダーは機密性の高いプライベート アプリ、リモート デスクトップ、運用システムへのクライアントレス アクセスが可能になります。管理対象外のデバイスにクライアントをインストールしたり、ジャンプ ホストやVPNにログインしたりする必要はありません。このソリューションは、次のようなメリットを実現します。

• 稼働時間と生産性の向上：インラインのゼロトラスト セキュリティによる直接接続は、機器への接続や修理のスピードを加速させ、ダウンタイムを最小限に抑えます。従来のVPNやPAM製品を介した低速でコストのかかるバックホールは一切発生させません。
• 従業員とシステムの安全性の向上：インサイドアウト接続によって、OTネットワークとシステムがインターネットから見えなくなるため、生産プロセスを混乱させようとする悪意のある人物に資産が発見されたり、悪用されたりすることはありません。
• 優れたユーザー エクスペリエンス：Webブラウザーからクライアントレスでアクセスできるため、リモート ワーカーだけでなく、サードパーティーのベンダーや請負業者も従来のVPNのような煩わしさを感じることなく、OTシステムに簡単にアクセスできます。

統合プラットフォームは、プライベート アプリやワークロード、IoT/OTデバイスにまで安全なゼロトラスト アクセスを拡張し、複数のリモート アクセス ツールを集約してセキュリティとアクセス ポリシーを統合することで、複雑さを軽減し、侵害を阻止します。