【セキュリティ対策】IoT時代のセキュリティ対策のポイント
最終更新日: 2018/03/06 5:58am
こんにちは。経理の小高です。
本日は「IoT時代のセキュリティ対策」についてです。
前準備として、一般的な「3層構造のセキュリティ対策」について復習しておきたいと思います。
「3層構造」というと電気釜の話のようですが、簡単に申しますと「ウィルスに感染する経路を3つのポイントで遮断しましょう」ということを意味しています。
今も昔もウィルスにかかる経路は大きく3つあります。
- メールの受信
- ホームページ(ウェブ・インターネット)からのダウンロード
- USBメモリなどの外部媒体
まず、「メールを受信することによる感染」を防ぐストーリーはこうです。
メールの大半はスパムメールなので、スパムメールをフィルタリングします。それに加えて、メールの添付ファイルがウィルスに感染しているかもしれないので、スキャンをかけて感染していれば除去します。この機能をもつハードやソフトを「メールゲートウェイ」と呼びます。
上図①の部分がそれにあたります。Office365のメール機能(Exchange)は大変堅牢なメールゲートウェイ機能をもっています。
つぎに「USBメモリなどの外部媒体からの感染」を防ぐには、パソコン(やスマホ)にウィルス対策ソフトをインストールします。ウィルス対策ソフトは「オンデマンドスキャン」という機能で、ウィルス対策を発見次第すぐにそれを除去します。
弊社では、お客様にNTT東日本様の「おまかせアンチウィルス」をご導入いただいております。ソフトウェア本体はトレンドマイクロ社(シマンテック社、マカフィー社と並ぶ最大手)のものとなっています。上図の③がこれにあたります。
最後に「ホームページ(インターネット)からの感染」を防ぐストーリーです。インターネットと社内の境界には、外部からの不正侵入を防ぐためにファイアウォールを設置するのが一般的です。パソコンが常時インターネットに接続している場合には最低限必要な防御であって、上図②となります。
インターネットからウィルスに感染しないには「怪しいサイトにアクセスしないのが一番」ですので、アクセスする先の危険度を判定する機能が(大抵のルーターやファイアウォール装置で)提供されています。これは「URLフィルタリング」といいます。
それでも、インターネットからウィルスをダウンロードしてしまう可能性はゼロではありません。そういう場合には、ウィルス対策ソフトによってウィルスを除去する、と考えます。
これに加えて、ファイアウォール装置に「外部からの攻撃を防御する」だけでなく「内部からのデータ流出を阻止する」という機能を持たせることができます。万が一、社内でウィルスに感染しても外部への通信を監視することでデータの流出を食い止める、という考え方です。
最近では、一般のファイアウォール装置よりきめ細かく通信の制御ができる「UTM(ユーティーエム:Unified Threat Management:統合脅威管理)」という装置が一般的になってきました。
すみません。前置きが長くなりました。ここから「IoT時代のセキュリティ対策」についてです。
IoTはInternet of Things(物のインターネット)の略です。「物」というのは抽象的な言い回しなのですが「なんでもインターネット(もしくは、ローカルネット)につないじゃおう」というコンセプトのことです。
今でも、オフィスの複合機や無線ルーター、NAS(ストレージ)といったものが「ネットワークにつながって」いますね。これらの発展形と考えればいいかと思います。
しばらく前から、工業や農業、建設業ではセンサーネットワークといったものが注目を集めています。これは、
- ラズベリーパイなどの「小型コンピュータ」が発展したこと
- 無線ネットワークの技術が発達したこと
- クラウドの発展により大量のデータ(ビッグデータ)を誰でも保管できるようになったこと
- ビッグデータを解析する技術が発展したこと
- クラウドの発展により誰でもビッグデータを解析できるコンピュータ能力を調達できるようになったこと
が契機になっています。つまり、近年のITの進化を「まるごといいとこどり」できる領域というわけです。
以下では「小型コンピュータ」の実例を挙げます。
写真の右側はラズベリーパイ(ケース入り)、左側はESP-WROOM-02というマイコン(正確には秋月通商のDIP化キット)です。どちらも長辺が10cm以下なのですが、どちらもWifiモジュールを内蔵しています。
上の赤枠で囲んだ部分はInput/Outputのための端子(正確にはGPIOの他に電源やシリアルのPINが含まれています)です。これにセンサーやアクチュエータを接続させることができます。
下の写真は、左側のマイコンと「温度・湿度・大気圧センサー」を使った、温湿度と大気圧を定期的に計測する装置の例です。赤く囲んだのがAE-BME280という「温度・湿度・大気圧センサー」です。エネループ(Ni-MH電池)が写っていますが、1回の充電で1カ月間動きます。(せめて半年くらいは動かしたいところではありますが、この詳細にご興味のある方は、過去のブログ「ESP-WROOM-02とBME280で安くてとことん長持ちする温度・湿度・大気圧センサーをつくる。」を参照ください。)
このESP-WROOM-02、Wifiがついているというだけでも「面白いマイコン」なのですが、「無償の開発キットが提供されている」という素晴らしい特徴があります。言語はC++ライク。通信モジュール(ライブラリー)なども無料で手に入ります。
そして、ラズベリーパイは「本物のパソコン」です。フルスタックのOS(基本的にLinux)が載ったマシンですので、Pythonなどなどの高級なプログラミング言語を利用することができて、工夫次第で面白い使い方ができます。過去のブログになりますが「ラズベリーパイ3+SORACOM Air(AK-020)+AmbientでGPSロガー(所在地確認)を作ってみる」では、ラズベリーパイにSORACOM Airという低速回線とGPSモジュールをつないで、営業さんの現在地情報システムを作ってみました。(結局、営業さんが電源を抜いてしまうという弱点が露呈しました)
農業や工業、建設業といった業界では、こういったものをつかって「新しい農業(や工業、建設業)を作って行こう!!」という機運が盛り上がっています。こんなに「小さいコンピュータ(やマイコンモジュール)が手に入って、プログラミングできる」のですから、夢はどんどん広がっていきますよね。
会社だけでなく「家庭のThings」もこういった機運の延長線上に位置付けられます。Google HomeやAmazon Echoは、「家庭のThingsの親玉」として機能するようになるはずです。
さて、こういった機運の高まる中で「会社のパソコン(やパソコンもどき)が大量に増えてもセキュリティ対策は大丈夫なのか?」、「今のままでいいのか?」ということが問題になっています。たとえば、先のラズベリーパイの利用台数が増えれば増えるほど、ラズベリーパイ用のウィルスを作る人のインセンティブは高まります。マイコンモジュールにもウィルスが紛れ込む可能性は十分あります。
そうすると、これまで大丈夫と思っていた機械(Linuxベースの各種装置など)にも被害が及ぶかもしれません。
さて、先ほどの「3層構造のセキュリティ対策」に戻ってみましょう。
この対策は「パソコン」と「人の行為」にフォーカスしていますから、IoT時代のセキュリティ対策としては不十分だろう、とご理解いただけると思います。
上の図に、センサー類や事務機器、カメラ、工作機器などの「Things」を登場させたのが以下の図です。
上の図を見ると明らかですが、Thingsを含めたセキュリティ対策のポイントとなるのはピンクで囲った部分です。
特に「内側から外側への通信の制御」が重要となります。なぜなら、先ほどのラズベリーパイにしろ、マイコンモジュールにしろ、とても小さいですよね。そのうえ、ネットワークにつながってしまいます。ウィルスが混入した状態で社内に持ち込まれ(もしくは感染し)、ネットワークに接続して機密情報がどんどんインターネットにコピーされてしまう、というのが最悪のシナリオです。「内側から外側への通信制御」が重要なのはこういった理由によります。
上に書きましたが、現在、社内とインターネットの境界で「内側から外側への通信を監視して、おかしい場合には遮断する」機能を提供するのは、UTM(ユーティーエム)という機器です。
今後の「IoT時代」を踏まえると導入を検討する価値ありです。
追記:
IoT時代を支える技術として「ビッグデータ」を取り扱う基盤が整備されてきたと書きましたが、このブログでは「ビッグデータ」関連の記事を書く予定はありません。
個人的には5年くらい前に興味を持っていて、Amazon Web Services(AWS)を使って実験をしていました。
ビッグデータ解析はこんなかんじなんだ、という雰囲気をしりたい方は、小高の個人ブログをご参照ください。(ここしばらく更新できておりません)
古い記事となりますので、同じ条件では動作いたしません。(やり直してみたい気持ちはあるのですが。。。。)
2013/8/27付「 Amazon EMRでMahoutのレコメンデーションのワクワク感を体験する:30分でできる分散レコメンデーション」(外部リンク)
通販サイトで「あなたにお薦め」という商品が表示されることがあります。これは「あなたに購買傾向の似た人」のデータをもとに「傾向の似た人が買っていて、あなたが買っていないもの」を表示しています。このようなシステムは「リコメンデーションシステム」と言われていて、「協調フィルタリング」というアルゴリズムが有名です。この協調フィルタリングを分散環境でできるようにしようという計算手法(アルゴリズム)があったので、その検証をしたものです。
←「気づいてますか? 不正アクセス。」前の記事へ 次の記事へ「【ホームページ】Google Analyticsをオクトパスに取り込んで簡単に見れるようにしました」→