「ネットワークレベルのIoTセキュリティ」に政策レベルの大規模な推進が必要な理由

This post is also available in: English (英語)

弊社のポジションペーパー「Governments Must Promote Network-Level IoT Security at Scale(「ネットワークレベルのIoTセキュリティ」に政策レベルの大規模な推進が必要な理由)」は大規模な「ネットワークレベルのIoTセキュリティ」が「デバイス組み込み型のIoTセキュリティ」をどのように補完すべきかについて詳しく説明しています。  本稿は同ペーパーの概要ですので、全容は本稿末尾のリンクからダウンロードしてください (ペーパーの内容は英語版となります)。

現状: 広がるIoTデバイスの利用、相次ぐ攻撃、高まる懸念

各国の政府がIoTのセキュリティを懸念しています。その主な要因となっているのが、自国の重要な経済セクターのあらゆる領域でIoTデバイスの採用が相次いでいること、そして、IoTデバイスを悪用したサイバー攻撃が大きく報じられるようになったことです。対策として、多くの政府がIoTセキュリティの強化を目的とした規制や行動基準を模索しています。しかし、こうした対策はもっぱら消費者向けデバイスを対象とし、デバイスを製造・保守する際にメーカーが取るべき対策と、デバイスの認証や証明の仕組みに軸足を置いています。例として、欧州電気通信標準化機構(ETSI)のサイバーセキュリティに関する技術委員会の標準ETSI EN 303 645 (2020年発行)の推進があげられます。これはIoTサイバーセキュリティの標準であり、インターネットに接続される消費者向け製品のセキュリティ基準を定めたものです。

とりわけ、サイバー脅威が高まる中であらゆるビジネス分野と政府機関にIoTデバイスの利用が広まっていることから、弊社はIoTセキュリティの解決を目指した政府の取り組みの意図に賛同します。パロアルトネットワークスは2020年IoT脅威レポートの中で、IoTを標的とした注目を集めるサイバー攻撃によって、産業界がIoTのリスクを認識・管理し、中核的なビジネス活動を保護することを強いられていると説明しました。しかも、Covid-19のパンデミックによってIoTセキュリティの課題は悪化しています。ノートPCやスマートフォン以外の会社支給IoTデバイスが自宅に導入された上、これまで会社の構内や政府機関のネットワークでしか行わないのが当たり前だった、機密性の高い業務を自宅で行うようになったからです。

政策担当者はデバイスの製造者が従うべき手順に注力していますが、ネットワークレベルのセキュリティを大規模に推進する政策により、自動化と機械学習を活用してIoTデバイスの異常な振る舞いを検出・阻止する政策も必要です。ネットワークレベルのセキュリティはデバイスの種類や用途に関係なくIoTセキュリティに対処します。「消費者向け」IoTデバイスを狙った攻撃によって、さまざまな業界や経済全体が複雑な影響を受けかねないことを考えると、この点は特に重要です。ネットワークレベルのセキュリティによるアプローチは、IoTデバイスをすぐに利用できるレジリエントなネットワークを実現できる上、企業、政府機関、自宅などあらゆる環境で活用できます。

問題: デバイス組み込み型のセキュリティコントロールの効果は限定的

組み込みのデバイス セキュリティは非常に重要ですが、単体では不十分です。

IoTデバイスに起因するセキュリティの弱点: 一部のデバイスにはセキュリティを組み込めません。また、サーモスタットやスマート照明など、ストレージや処理能力に余裕がないため、ログ機能や、機密情報を処理中に保護する暗号化機能を搭載できないデバイスもあります。IoTデバイスは低コストでセキュリティが組み込まれないことが多いため、攻撃者にとって格好の侵入ポイントになるのです。実際、何十億台もの既存の旧式デバイスは1つの壁となります。過去にさかのぼってセキュリティを念頭にデバイスを再設計する(あるいは認証や証明を取得する)わけにもいきません。

製造者のサプライチェーンに対する脅威とリスク: たとえIoTデバイスが安全に設計されているとしても、製造者のサプライチェーンを介して埋め込まれた弱点が、デバイスの出荷時に見落とされる可能性があります。

実際の使用状況から生じるセキュリティ課題: 実際に使用される際の不確定要素によって、さまざまなリスク プロファイルが生じかねません。まず、同じIoTデバイスであっても、異なる環境で使用される可能性があります。たとえば、IoTセンサーは農作業の監視と、運輸業界での車両の追跡に使用されます。また、同じIoTデバイスが消費者向け設定と産業向け設定の両方で使用される可能性があります。さらに、IoTデバイスは同じ設定でも多彩な機能を持ち、送配電用途など無人環境で使用される場合もあります。あるいは、同じ組織でもチームごとにIoTデバイスを購入したため、デバイスの情報が一元化されないことがあります。たとえば、医療機関でバイオメディカル チームが購入したデバイスを、ネットワーク セキュリティ チームが把握していない可能性があるのです。

対策: デバイス組み込み型セキュリティコントロールを「ネットワークレベルの大規模IoTセキュリティ」で補完

デバイスに組み込まれたセキュリティ コントロールだけに依存すると、誤った安心感がもたらされる可能性があります。組み込みのセキュリティは対策の片割れにすぎないからです。企業はセキュリティに対するゼロ トラスト アプローチに基づく、ネットワークレベルのIoTセキュリティを導入する必要があるのです。

デバイスの可視化と動的な識別: どんな組織でも、ネットワーク上のIoTデバイスを常に可視化する(= 完全なインベントリを作成する)必要があります。可視化によって、「攻撃対象領域」と重要な相互依存関係(IoTデバイスの所在、デバイスが使用中のアプリ、デバイスの相互接続状態)を把握できるのです。可視化できたら、IoTデバイスを識別し、ネットワークに接続した際のリスクを評価する必要があります。総合すると、デバイスの可視化と識別によって、ネットワークやIoTデバイスへの侵入に利用されかねない重大な死角を解消できるのです。

デバイスとリスクの継続的な監視: 可視化したデバイスを絶えず監視し、異常な振る舞いや脅威を検出する必要があります。IoTデバイスは決まった機能を実行するように設計されているため、想定される振る舞いのパターンはたいてい予測可能です(例: プリンターの動作は、医療デバイスや産業向けセンサーの動作とは異なる)。継続的な監視によってデバイスのあるべき動作とそうでない動作を明らかにすることで、異常な振る舞いを検出できるようになります(例: 医用画像処理装置がYouTubeに動画を配信するはずがない)。

セキュリティ ポリシーの適用: デバイスとリスクの可視化と監視によって、ようやく組織がセキュリティ ポリシーを策定し、IoTデバイスに対してリアルタイムに適用アクションを実施してサイバー攻撃の阻止と異常な振る舞いへの対応を行えるようになります。対策にはネットワークのセグメント化が含まれます。セグメント化によって、IoTデバイスの機能に応じた「最小アクセス」ゾーンをIoTデバイス向けに作成し、特定のデバイス タイプがアクセス可能なネットワーク リソースを必要なものだけに限定することが可能です。結果、リスクを低減できる上、IoTデバイス ゾーンが侵害された際に脅威の横方向移動を制限できます。また、感染や侵害を受けたIoTデバイスを隔離(無効化またはオフライン化)することも、適用アクションの1つです。

防御とワークフローの自動化も欠かせません。脅威(既知の脅威と未知の/ゼロデイ脅威)に対する防御は極めて重要です。インシデントへの応答やインシデントからの復旧も重要ですが、そこまで行くと被害はすでに発生しています。また、防御によって、すでに燃え尽き症候群に陥っているセキュリティ運用センター(SoC)チームが受け取るアラートを削減できます。デバイス検出、リスク監視、ポリシー適用、脅威防御といったワークフロー全体を自動化することも、技術と巧妙さを増す攻撃者の先手を打つには欠かせません。自動化の際は、時間と費用がかかり、自動化された攻撃に応じた拡張が不可能な、手作業によるレスポンスを置き換える必要があります。

ネットワークレベルのIoTセキュリティを支援する機械学習活用

近年の進歩によって、機械学習はIoT関連のサイバーセキュリティに欠かせないアプローチになりました。通常、機械学習モデルは指定されたIoTデバイスのしかるべき振る舞いとネットワーク使用量を幅広いデータから判断し、リアルタイムなデバイスの可視化と動的な識別、デバイスとリスクの継続的な監視、ポリシーの適用を効率的に実現します。IoTデバイスの振る舞いのパターンは予測可能なため、機械学習は容易にパターンを学習できます。さらに、機械学習は人間と異なり大量のパターンをリアルタイムに収集できます。つまり、機械学習と人工知能(AI)を活用することで、デバイスの特定、IoTデバイスの動作パターンに対する有害な逸脱の未然検出、攻撃の阻止を自動化できるのです。重要な点として、機械学習は市場に出たばかりのデバイスなど、前例のないデバイスの特定にも役立ちます。

ネットワークレベルのIoTセキュリティを支援するクラウド活用

最後に、ネットワークレベルのIoTセキュリティは、2つの理由からクラウドを活用するべきです。第一に、世界中の多くの組織がネットワークをハイブリッド (パブリック/プライベート) クラウド モデルに拡張しており、IoT/IoMT/IIoTデバイスが設置されているネットワークも例外ではありません。したがって、こうしたネットワークのセキュリティ対策はクラウド上で行うべきです。第二に、クラウド セキュリティ ソリューションなら、イノベーションの速度に合わせて最新の制御を配信できるうえ、自動化された巧妙なサイバー攻撃への対処に必要な計算能力の需要に応じてスケールアップとスケールダウンを行えます。

結論: 政府はネットワークレベルのIoTセキュリティを政策で大規模に推進せよ

とりわけ経済全体でIoTデバイスの利用がいかに広まっているかを考えれば、IoTリスクに対する政府の懸念は妥当です。IoTデバイスと聞くとたいていの人は消費者向けの用途をまず連想しますが、IoTは政府機関のみならず医療や運輸などさまざまな分野の企業でも導入されています。こうした組織でIoTデバイスの利用が増加しているのは、パンデミック期間中に従業員が業務の大部分を在宅勤務に移行させたためです。それどころか、スマート家電や消費者向けウェアラブル端末といった従来の消費者向けIoTデバイスの中にも、企業ネットワークに接続されることが増えたデバイスが多数存在します。また、医療サービス市場における医療用IoT (IoMT)の利用も急速に拡大しています。さらに、IoTは産業向けの設定でも幅広く導入されています(産業用IoT: IIoT)。

いずれの設定にせよ、IoTの安全な利用を促進するには、(組み込みのデバイスセキュリティに加えて)ネットワークレベルのセキュリティ プラクティスを政策によって推進する必要があるのです。より具体的には、政府は以下のアプローチを採用して効果的なネットワークレベルのIoTセキュリティを後押しする必要があります。

  1. 経済全体でクラウドとクラウドベースのセキュリティの利用を推進する。
  2. サイバーセキュリティに対する自動化されたアプローチ(特に機械学習を活用したアプローチ)の採用を推進する。
  3. 企業、政府機関、個人に対して、次の取り組みを推奨する。
    1. 使用中のネットワーク上のIoTデバイスをすべて網羅したインベントリを作成する。
    2. デバイスの継続的な監視によって異常な振る舞いや脅威を検出する。
    3. IoTデバイスに対して自動化されたセキュリティ ポリシーをリアルタイムに適用し、サイバー攻撃の阻止と異常な振る舞いへの対応を実現する。

パロアルトネットワークスは各国の政策担当者の活動に専門知識を提供することで、IoTセキュリティの改善を目指しています。

「Governments Must Promote Network-Level IoT Security at Scale(「ネットワークレベルのIoTセキュリティ」に政策レベルの大規模な推進が必要な理由)」のダウンロードはこちらから