サーバーとワークステーションだけで構成されているネットワークの保護ならば、セキュリティ製品で事足ります。しかし、モノのインターネット(IoT)はまったく別物です。業界全体で標準化が進んでおらず、開発者はセキュリティを気にかけもしません。結果として、IoTデバイスの多くは脆弱性や未解決の問題を抱えています。また、設定に不備があるケースやインターネットからアクセスできてしまうケースも多く見られます。オフィスや家庭で使われるIoTデバイスのセキュリティには大いに問題がありますが、産業IoTのセキュリティも状況は似たりよったりです。
代表的な例
例を挙げようと思えば、身近なところでいくらでも見つかります。最近のものとしては、Securelistに掲載された「Gas is too expensive? Let’s make it cheap!(ガソリン代が高すぎるなら安くしてしまおう!)」と題した記事で取り上げられた事例があります(英語記事)。Kaspersky Labグローバル調査分析チーム(GReAT)のシニアセキュリティリサーチャーであるイドー・ナール(Ido Naor)と、Azimuth Securityのリサーチャーのアミハイ・ネイダーマン(Amihai Neiderman)氏は、ガソリンスタンド管理システムの脆弱性について調査しました。このデバイスはインターネットに直接接続され、給油機や決済端末をはじめ、ガソリンスタンドのあらゆる機器を管理していました。
さらに驚くことに、デバイスのWebインターフェイスには既定の認証情報でアクセスできる状態でした。2人がデバイスのソフトウェアコードを詳しく調べたところ、さまざまな操作が可能であることが判明しました。たとえば、すべての給油システムのシャットダウン、燃料漏れの発生、ガソリン価格の変更、決済端末の迂回(金銭窃取のため)、車のナンバーや運転手のIDの取得、制御ユニットでのコード実行、さらにはガソリンスタンドのネットワーク内を意のままに移動することが可能でした。
両リサーチャーは、発見した脆弱性をデバイスの製造元に通知し、CVE(共通脆弱性識別子)を管理するMITRE(英語)へ報告しました。発見よりも前に犯罪者が何らかの方法でこの脆弱性を悪用しようとした形跡はありませんでしたが、Kaspersky Labの調査では、コンピューター以外のコネクテッドデバイスが引き起こしたインシデントが企業に深刻な経済的影響をもたらしていることが判明しています(英語記事)。
問題の解決策
IoT向けサイバーセキュリティ標準の必要性は明らかです。標準化団体は、IoTセキュリティの問題を分類し、潜在する脅威を検証するとともに、IoTシステムの安全な運用を支援しうるサイバーセキュリティ手段を確定する必要に迫られることとなるでしょう。こうした課題への一つの答えとなるのが、国際電気通信連合電気通信標準化部門(ITU-T)のスタディグループ20が策定したITU-T勧告Y.4806「Security capabilities supporting safety of the Internet of Things(IoTの安全を支援するセキュリティ能力)」です。
Kaspersky Labは、同スタディグループのメンバーとして、ITU-T勧告Y.4806の策定に大きく貢献しました。Kaspersky Lab ICS CERT(英語)のエキスパートグループは、専門知識を共有するとともに、実際的で信頼できるレベルの保護を実現するための項目リストを策定しました。同リストおよびその他推奨事項は、ITU-T勧告Y.4806(英語)に掲載されています。
ITU-T勧告Y.4806は主に、工場用オートメーション、自動車システム、運輸、スマートシティ、ウェアラブルおよびスタンドアロン医療用デバイスなど、安全性が重視されるIoTシステムに適用されます。