セキュリティ対策のされていないIoTデバイスが、攻撃者の対象になるまでどれくらいの時間がかかるか知っていますか?
ある研究では数秒~数分のうちに攻撃者によって汚染されるといわれています。対策無しで機器をインターネットにつなぐことそのものが脅威になりうる時代です。今すぐできる対策を3つ挙げます。取り急ぎ実行しましょう。
IoTセキュリティ今すぐできる対策
すぐできるセキュリティ対策
- 機器ファームウェアのアップデート
- ログインID・パスワード変更
攻撃者によってネットワークやサーバ、IoT機器等が攻撃されることを「サイバー攻撃」といいます。サイバー攻撃の脅威は、情報を抜き取られることだけでなく、他社への攻撃(DDos攻撃など)の踏み台にされたり、仕込まれたウイルスを拡散する役目を担う等のケースがあります。
DoS攻撃は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。 ウェブサービスを稼働しているサーバやネットワークなどのリソースに意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスを妨害する。
引用:wikipedia
セキュリティ対策は、「していなかった」「知らなかった」では済まない時代です。どの業界にいおいても、やってしかるべき手段として最低限の対策が要求されます。セキュリティ専門家でなくとも今すぐにできる対策を実施しましょう。
機器ファームウェアのアップデート
Windowsの自動アップデートと違い、インターネットにつなぐ機器(ルーターやサーバ、IoTデバイス等)はファームウェアの自動更新ができません。(設定でアップデートをスケジュールできるものもあります)
ファームウェアのアップデート中、再起動などでシステムが停止するため、自動アップデートをしないものがほとんどです。このため、ITデバイスのファームウェアがアップデートできること知らずに運用している場合も多いでしょう。
ITデバイスにセキュリティの欠陥が見つかっても、アップデートが実行されないため攻撃者に狙われます。サーバーのOSやルーターのファームウェアなどは、セキュリティやバグ改修のため頻繁にアップデートパッチがリリースされています。
お使いのデバイスが最新状態にあるか、まず最初にチェックしましょう。基本的にアップデートに関する情報はメーカーサイトで大きくアナウンスされています。
ID・パスワード変更
多くのルーターやIoTデバイスでは、初期設定がしやすいように初期のログイン用ID・パスワードが設定されています。たとえば、BUFFALOのルーターは「ID:root、パスワード:password」などですね。
このID・パスワードは初回設定のためであって、通常はユーザーが変更するべきものです。しかしながら、セキュリティ意識が低いユーザーの間では初期状態のまま運用され、そこが攻撃者に狙われます。
攻撃者はよく使われるIDやパスワードを手当たり次第に使い、ログインを試みます。ネットで公開されているID・パスワードであれば、一番に試される組み合わせでしょう。狙って下さいといっているようなものです。
ルーターのID・パスワードなどは数分で変更できますので、ファームウェアアップデートの次に即実行してください。
パスワードは組み合わせる文字によって強度が全く違います。忘れ防止のために覚えやすい文字列にしてしまいがちですが、基本的に覚えやすいものは、攻撃者にも想定されやすく、セキュリティが高いとは言えません。
パスワードを自動生成してくれる無料サービスなど使い、破られにくいパスワードを今すぐに設定してください。
[st-cmemo fontawesome=”fa-external-link” iconcolor=”#BDBDBD” bgcolor=”#fafafa” color=”#757575″ iconsize=”100″]LUFTTOOLS:パスワード生成(パスワード作成)ツール[/st-cmemo]
さらにセキュリティを高める:IoTデバイスのログイン方法の変更
IoTシステムの開発時やサーバー構築において、IDとパスワードを用いてデバイスやサーバーにログイン操作する必要があります。この時に使われるSSHという接続方法はセキュリティが確保されています。通信が暗号化され安全にログインできるとされています。
SSHとは
SSHとは、Secure Shell(セキュアシェル)の略称で、リモートコンピュータと通信するためのプロトコルです。 認証部分を含めネットワーク上の通信がすべて暗号化されるため、安全に通信することができます。
引用:IDC Frontier
通信内容は暗号化されていても、ログインがパスワードによる認証ではセキュリティレベルが高いとは言えません。現在、パスワードを使わずにサーバやIoTデバイス等にログインする方式として「公開鍵認証」という手法がよく用いられます。
公開鍵認証は説明が難しいのですが、パスワード管理よりもセキュリティレベルの高いログイン方法として利用が広がっています。Linux系のサーバやIoTデバイスは、公開鍵認証でログインすれば、毎回パスフレーズ(パスワードの代わりになるもの)も入力せずに接続することができるため、デバイスとのSSH接続がスムーズ且つ安全になります。
公開鍵認証を設定してあってもパスワードでのログインも有効では意味がありません。パスワードを破られてしまえば、おしまいです。OSの設定で、パスワードでのログインやルートユーザー(すべての権限を持つユーザー)でのログインを禁止しておけば、さらにセキュリティレベルは高まるでしょう。
公開鍵認証の方法は、「今すぐ簡単に」とはいきませんが、ネットワーク機器を使用するうえで理解しておくべきセキュリティ対策となっています。
[st-cmemo fontawesome=”fa-external-link” iconcolor=”#BDBDBD” bgcolor=”#fafafa” color=”#757575″ iconsize=”100″]リナックスアカデミー:【手順つき】SSHの公開鍵認証のやり方[/st-cmemo]
現代のIoTセキュリティ、どんな脅威があるのか常に最新情報を!
セキュリティに関しては、その脅威への注目度も相まって、学習する機会も増えています。今現在、どんなサイバー攻撃の脅威があるのか、対策はあるのか、これからどんな予防をしていくべきか、よくよく学習しておきましょう。
上記の書籍では実際にあった事故事例などが紹介されており、IoTデバイスを踏み台に、国家に関わる危機にもつながる事態があることが紹介されています。「最悪の事態」を想定しながらネットワーク機器を正しく活用していきたいものです。
備えがあっても、セキュリティ事故は起こってしまう場合もあります。しかし、事故の被害を最小限に抑え、情報流出や攻撃の踏み台とされないためにも、できることから始めましょう。
繰り返しますが、「知らなかった」「対策していなかった」では済まないレベルまで情報化社会が進んでいます。攻撃者が悪いのはもちろんですが、何も手を打っていなかった企業側も責任が問われます。会社であれば、セキュリティ担当を据えて対応していくくらいの準備が必要でしょう。
まとめ
セキュリティのプロに依頼すれば高額になるIT関連のセキュリティ案件。まずは自社ですぐにできる対策を打ちましょう。デバイスのファームウェア更新やID・パスワードの変更で、脅威はぐっと下がります。
社内設備の開発や保守・運用に関してもログイン方法を変える等でお金をかけずに対策はできます。ネットワーク関する脅威やコストは増すばかりですが、手をこまねいていることのないよう、企業のモラルとして投資と意識を高めていきましょう。
コメント