皆さん、こんにちは!日本マイクロソフトのセキュリティチームの新メンバーのモーリスと申します。
昨今、インターネットに接続しているデバイスが話題になったことを機に、今回は「モノのインターネット」上のセキュリティについてお話したいと思います。
■「モノのインターネット」とは何でしょうか?
「モノのインターネット (Internet of Things)」とは 1999 年にマサチューセッツ工科大学に属していた研究者のケヴィン・ アシュトンに作られた言葉で、従来のパソコンとサーバーで主に構成されているインターネットとは対照的に、あらゆる電子機器やセンサーと通信機能の付いていたさまざまなモノで構成されているインターネットとのことです。
この造語が生まれた 1999 年では、「モノのインターネット」はあえて言えば理論上のものでしたが、近年ますます実現化の方向へ進んでいます。現実世界には携帯電話は勿論のこと、テレビ、HDD レコーダー、ゲーム機、ベビーモニター、デジカメ、メモリカード、洗濯機、冷蔵庫、腕時計など、身の回りにインターネットに接続しているデバイスが既に溢れています。集積回路の縮小化と低エネルギー化の技術の進展、IPv6、Bluetooth、WiFi などの技術標準の普及により、近い将来、このようにインターネットに接続しているデバイスが更に飛躍的に増えるでしょう。
■「モノのインターネット」の実現によりセキュリティにどんな影響があるでしょうか?
一般のユーザーが意識しなくても、モノのインターネットを構成しているデバイスは、さまざまな機能を持っており、インターネットに接続すると、パソコンと同様の脅威に直面します。
長年の取り組みにより近代のパソコン用のオペレーティング システムはオープン インターネット上の多岐に渡る脅威に対して強化されています。Windows の場合、Windows XP がリリースされてからの 12 年間にたくさんの先進セキュリティ技術が開発され、Windows Vista、Windows 7、Windows 8 のリリースに伴い段階的に導入されてきました。(Windows XP 時代から導入されてきた記述についてはこちらで詳しく説明されています。) その上、セキュリティ技術の他、新興脅威の発生に向けて健常な対応プロセスが整っています。継続的に脅威の状況を監査し、脆弱性が確認されたらセキュリティ更新プログラムを速やかに作成、速やかに広く配信するシステムがあります。
しかし、残念なことに全てのインターネットに接続できるデバイスは十分なセキュリティ対策が実装されていない現状もあります。最近、セキュリティ会社が度々デバイスの脆弱性についてのアドバイザリを発表し、「不正アクセス」、「特権の昇格」、「リモートコード実行」、など、かつてパソコンやサーバーでしか見られなかった脆弱性の影響が一般の家電や携帯用インターネットデバイスにも見られるようになってきました。それに、健全な脆弱性対策プロセスと安全な自動的なソフトウェアのアップデート機能が整備されていないデバイスもたくさんあります。
■ こんな実情でセキュリティをどう守れるでしょうか?
インターネットに接続可能なデバイスを購入するときに、まず下記の 3 点を考えましょう。
① リスクの測定: デバイスの悪用により個人情報の漏洩や安全性の問題はあり得ますか?
② デバイスのメーカーは脆弱性対応プロセスを完備していますか?プロセスの健常性を測るのが難しいかもしれませんが、ウェブを検索すれば脆弱性報告窓口の有無を簡単に確認できます。
③ 脆弱性を修正するソフトウェア更新プログラムは自動的にインストールされますか?自動的に更新されないデバイスであれば手動のアップデート入手方法とインストール方法を確認しましょう。
モノのインターネットを楽しみながら、デバイスのセキュリティ状況も意識していきましょう。