400億台のIoTデバイスがハッキングの危機に——
高度化するサイバー攻撃から守るための3つの方法とは

現在、世界で使われているIoTデバイスの数は400億台以上。急激な普及に伴って、経済産業省（以下、経産省）は「サイバーセキュリティ経営ガイドライン」を発表し、IoTデバイスのセキュリティリスクに関する警鐘を鳴らしています。IoTによってすべてがつながる超接続社会に向かうなかで、企業はどのような備えをすべきなのでしょうか。

NTTコミュニケーションズ（以下、NTT Com）でサイバーセキュリティ領域の事業を担当してきた城征司に、IoTデバイスにまつわるセキュリティリスクの現状と、NTT Comが提供する「安全につなぐ」「寄り添い続ける」「柔軟に組み合わせる」という3つの価値を軸にした施策について語ってもらいました。

---

IoTへのセキュリティ意識が高まらない理由とは？

経産省が定期的に発表している「サイバーセキュリティ経営ガイドライン」では「IoTデバイスに対するセキュリティ政策」が盛り込まれています。まずは、こうした啓発が積極的に行われていることの背景について見解を教えていただけますか。

城：IoTセキュリティに関して、いま対応を進めないと取り返しがつかないことになる。そんな「ギリギリのライン」に我々がすでに立っている証左だと考えています。

背景には、2つの理由があると考えています。1つめは、IoTデバイスの急激な普及です。今や家庭には当たり前のようにスマートスピーカーが設置され、老若男女が使うようになりました。また、家庭で使われるあらゆる家電にはセンサーがついていて、家事をアシストしたり生活のクオリティを高めてくれたりしています。工場や倉庫などの現場では在庫や温度、物流をセンサーによって把握し、データ化して業務改善に活用しています。

技術革新で「できること」が増え、製造コストも下がり、IoTデバイスとソリューションが、すでに生活のあらゆる場所に入り込んでいるわけです。総務省の「令和4年版 情報通信白書」によれば、世界のIoTデバイス数は、毎年10％ずつほどの右肩上がりで増え続けていて、2024年には400億台にまで届くとの予想値が示されていました。世界人口の５倍近くのIoTデバイスが世界にはすでにあるのです。世界人口の5倍近くのIoTデバイスが世界にはすでにあるのです。

こうした状況で重要になってくるのが、2つめの理由です。それは、IoTデバイスに対するセキュリティ対策の機運が醸成されていない、ということです。

PCやサーバーといったIT機器は、ウイルス対策や専用ソフトなどが普及するなど、セキュリティに関する人々の意識は高い一方で、IoTデバイスは、それらに比べて対策がおざなりになっていると言わざるを得ません。

――なぜIoTデバイスに関するセキュリティ意識は高まらないのでしょう？

城：一般的に、セキュリティの機運はどうしても普及から半歩遅れた状態になりがちです。IoTはまだ普及を優先する段階にあって、過渡期に立っているのでしょう。

また、IoTデバイスの中には、低価格で簡素なスペックのものも多いため、そもそもウイルス対策ソフトを入れることが難しい場合があるということも影響しています。

気軽ゆえに、企業の情報システム部も把握しないうちに社内に何台もIoTデバイスが導入されていた、なんてことも当たり前に起こり得ます。PCやスマホは基本的に情シス部門の管理下に置かれますが、IoTデバイスの場合は徹底が難しいかもしれません。しかし、そうしたIoTデバイスを放置していると、ハッキングされて被害を被るリスクが高まります。

――つまり、セキュリティの脆弱性が高いIoTデバイスが、世の中には大量に普及している状態であるにもかかわらず、その危険性があまり認識されていない状況にあるのですね。

城：はい。そして、IoTデバイスはサイバー空間だけではなくモノの「制御」にかかわるデバイスです。それだけに従来のIT機器とはまた違う、大きな被害を及ぼす可能性があります。

例えば、実世界の被害ではないのですが自動車を遠隔から不正操作するようなデモが行われたケースがあります。ちまたにあふれる監視カメラも、ハッキングによってデータが盗まれ、勝手に公開されてしまうという事態がすでに起こっていますよね。

また、最近目立つのが、IoTデバイスのボットネット化です。ボットネットとは、マルウェアなどの悪意あるプログラムを使ってネットワーク経由で遠隔地からIoTデバイスを乗っ取り、そこからスパム送信などの攻撃を行うサイバー犯罪です。

昨年末もある空港や、通信会社のWebサイトが突然ダウンしました。インターネット経由で、同時刻に大量のアクセスをかけてサーバーをダウンさせる、DDoS攻撃を仕掛けられたのが原因です。実はこの攻撃は、PCではなくIoTデバイスを乗っ取って行われたボットネットだった可能性が高かったそうです。

先に述べたように、ある種、野放しに大量のIoTデバイスがネットワークにつながっているので、サイバー犯罪者にしてみると「使いやすい」状態だったと言えます。

セキュリティ対策を打つための2つのポイント

――そうしたリスクを抱えた状況に対して、セキュリティ対策を打つ上でのポイントとは？

城：ガイドラインから読み取れるポイントとしては2つあります。「経営層によるコミット」と「他社も含めた、サプライチェーン全体への目配り」です。

まずガイドラインでは、ことあるごとに「経営層によるコミット」の必要性が強調されています。

これまでのITセキュリティでも経営層がトップダウンでセキュリティ対策を実行していく必要がありましたが、IoTの場合はその重要性はさらに高いとされています。

というのも、先に少し触れたように、会社側が把握しきれない数のIoTデバイスが設置されているにもかかわらず、現場は「情報セキュリティ部がいるから安心だ」と思ってしまっている。オフィスで使うPCのセキュリティは管理できていても、例えば倉庫などの管理業務などで使っているIoTデバイスは事業部単位での管理になっているかもしれません。社内で横断的に新たな施策を練らなければ、必ず見落としが出てきます。そのためには、経営トップに近い層が、高い意識を持って手を付けるのが最適です。

2つめのポイントについては、DXの推進などもあってサプライチェーンは極めて高度に広がり、効率性を高めています。IoTも当然、このサプライチェーンの広がりと連動して利便性を高める大きな一因になっているわけですが、その広がりと比例して、当然リスクも拡大しているのです。

例えば、かつては倉庫の在庫管理や温度管理のためにセンシングして取得したデータは閉域のVPNなどのセキュアなネットワークで特定の宛先となるデータセンターやクラウド上のサーバーに運ばれていました。ネットワークも仕組みもシンプルで、セキュリティ対策もそれほど難しくありませんでした。

しかし、現在は倉庫間がセンサーとインターネットで結ばれて、例えばAの倉庫で在庫が少なくなったから、すぐにBという工場に発注がいって、Cの組み立て工場も仕掛りできるようになる、といった効率的な発注システムを組むことが可能だったりと、ネットワークのあり方が高度になっています。

――裏を返せば、どこか一社が、あるいはどこか一台のIoTデバイスがサイバー攻撃を受けただけで、大きく広がったサプライチェーン全体が多大な被害を被ることもあり得るのですね。

城：そういうことです。サプライチェーンは、今後さらに複雑で広域になっていくと考えられます。例えば自動車では、これからMaaSなどといわれるコネクテッドカーが普及すれば、自動車によってセンシングされた豊かなデータはさまざまな領域に活用されるでしょう。

交通情報を集めて渋滞を避ける、危険を察知して衝突を避ける。そうした自動車単体のメリットはもちろん、運転データの分析から事故リスクに応じた自動車保険料を設定したり、街なかを走る自動車から交通情報や輸送状況などを把握して、物流会社がサービス改善につなげたりといった活用方法も考えられます。

IoTデバイスで得られるデータがネットワークを通じてn対nでやりとりされ、それがさらに別の制御にまでつながる、豊かなユースケースが広がっていくことが期待されます。しかし、そうやって情報の価値が増すということは、サイバー攻撃で受ける被害も増すことにもつながるわけです。

――なるほど。ガイドラインでは「国際連携を意識した認証・評価制度等の立ち上げ」もミッションとして掲げられています。サプライチェーンのグローバル化が当たり前の今、海外の動向、セキュリティ対策の基準や法律なども目配りする必要があるということでしょうか。

城：そうですね。グローバルなビジネスを展開する上では、自社だけのセキュリティではもちろん駄目だし、日本だけで通用するセキュリティ対策をしていても、意味がありません。

場合によっては、IoTセキュリティの面で国際的な基準に達していないと、サプライチェーンから外される恐れすらあります。国際競争力という意味でも、軽視してはいけない事柄だと思います。

3つの価値にもとづいたNTT Comの施策

――IoTにまつわるセキュリティ対策をする重要性と緊急性は理解できたのですが、実際にどこからどう手を付けるべきか、悩まれている企業は多いのではないでしょうか。

城：そうした企業に対して、NTT Comでは「安全につなぐ」「寄り添い続ける」「柔軟に組み合わせる」という3つの価値を軸に、IoTセキュリティのサポートを進めています。

まず、「安全につなぐ」についてですが、IoTデバイスはそれぞれネットワークにつながれます。このつながるときの安全性を担保するのは、極めて重要ですよね。

NTT Comでは「IoT Connect Gateway」というサービスを展開していて、IoTデバイスから収集したデータをクラウドに送るまでのデータを暗号化したり、各IoTデバイスの保守点検の際にファームウェアの更新などを一括してセキュアに行う機能などを提供しています。また、「SASE」というネットワークを一元的に保護するソリューションも持っています。

また、IoTデバイスを管理する上で見逃せないのがメンテナンスに用いるリモートアクセスのリスクです。警察庁の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェアの感染経路の80%がVPNやRDPといったリモートアクセス装置の脆弱性や設定不備とされています。IoT Connect GatewayはIoTデバイスへの安全なリモートアクセスの仕組みを提供しており、一般的なVPN装置とは異なりお客さまによるパッチ適用などの脆弱性管理も一切不要です。

先に「IoTデバイスが社内のどこにどれくらい配されているか理解できていない場合が多い」と話しましたが、「SASE」を使うと、ネットワーク上に流れるすべてのトラフィックを監視できます。ネットワーク上にある認知していなかったIoTデバイスも検知して、不正な通信を遮断することも可能です。

――一つ一つのIoTデバイスのセキュリティ措置が難しくとも、それらをつなぐネットワーク上で管理や監視ができれば、安全につなげられるというわけですね。

城：ネットワークを通じてセキュアな仕組みをつくるのは、NTT Comのコアコンピタンスですし、デバイスで十分なセキュリティ対策を施すのが難しいIoTは、実は相性が良い領域であると思っています。

――なるほど。2つめの「寄り添い続ける」についてはいかがですか。

城：IoTの領域は、これからさらに進化、高度化していくことが予想されます。セキュリティ施策もスピーディに対応してアップデートしていく必要が出てくるなかで、どうやってお客さまの課題に長く寄り添って対応していけるかが鍵になると思っています。

NTT Comは、先に挙げた「IoT Connect Gateway」のようなIoT環境を整える基盤を提案することもできる一方で、パートナー関係にある数多のベンダーサービスの提案も積極的に行っています。自社サービスありきのプロダクトアウトではなく、お客さまの内実に合わせた提案ができることが、「寄り添い続ける」ためには強みになると考えています。

我々の強みはネットワーク以上に、「ネットワークを運用し続けるお手伝い」にあると思うのです。いわゆるマネージドサービスをIoTセキュリティの領域でも実現できるのではないかと。

――最後の「柔軟に組み合わせる」はどういった内容でしょうか。

城：具体的には「CRX（Cyber Resilience Transformation）」の考えにもとづいたAI Advisorというソリューションを用意しています。

このソリューションの特徴は、SIEM、SOAR、XDR※などの既存のIT運用ソリューションと、最新の生成AI技術、さらに顧客固有の情報を有機的に組み合わせている点にあります。これによって、セキュリティ運用者の負担軽減やサイバーレジリエンスの強化に貢献できます。

※ SIEM：Security Information and Event Management。ファイアウォールやIDS／IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み
SOAR：Security Orchestration, Automation and Response。セキュリティ運用業務の効率化や自動化を実現するための技術、あるいはソリューション。具体的な機能としては、さまざまな製品やプラットフォーム、外部からの情報の集約とその分析、事前に定義されたプロセスに沿った業務の効率化と標準化、そして発生したインシデントの管理や関係者への通知など
XDR：Extended Detection and Response。組織内に入り込んだマルウェアなどの脅威を自動検出し、分析して対処するプラットフォーム。エンドポイントだけでなく、ネットワーク、アプリケーション、サーバー、データセンターなど複数のレイヤを対象としている点が特徴

――なるほど。最後に、IoTデバイスに関するセキュリティ対策を検討している企業に向けて、メッセージをお願いします。

城：経産省によるガイドラインは規模も業種も多彩な企業をひとくくりに語らざるを得ないために、「実際、どうすればいいんだ？」という具体策が見えにくいところがあるかと思います。また、施策を検討する上では、他社の動きも参考にしたい企業も多いかと思います。その点で、規模も業種も問わず、多彩なお客さまと接してきた私たちのナレッジは具体性のある提案につなげられるものであると考えています。

今後、IoTデバイスに関するセキュリティについて「うちは関係ない」と言える企業はほとんどいなくなる時代になっていくのではないかと思っています。

IT関連のセキュリティガイドラインも経産省だけではなく、金融庁が出したり、自動車工業会が提示したりと、さまざまな業界が動き始めています。

より多くのデータを多くの業界、人たちが豊かに活用できる。そんな社会を実現するためにも、IoTセキュリティを積極的に実装していただきたいですし、そのお手伝いをし続けていきたいですね。

＜関連イベントのご案内＞
記事内で紹介しているソリューションの関連イベントを実施します。以下よりお申し込みください。