Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

IoT機器のセキュリティ対策はNICTだけで良いのか?

1月18日の共同通信の記事に、IoT機器についてNICTがセキュリティ上の脆弱性調査を行える制度を新設する方針との記事が出ていました。

this.kiji.is

脆弱性があるとサイバー攻撃を受けやすくなる。現在は「不正アクセス禁止法」の規定で、他人のID、パスワードを使って機器に無断で侵入することはできないが、NICTの調査に限っては、単純なパスワードの場合は認めるなど制限を緩和し、一定のアクセスを認める方向だ。(共同通信記事より引用)

 

記事では、NICTがIoT機器へのホワイトハッキングが可能になる様な形で、法整備を進めるような内容が書かれていました。勿論この動きが悪い訳はありませんが、少し物足りない気がしました。

IoT機器の観測を続けているNICTがMirai感染などが疑われても、そこまでの調査しか出来ないのは、「不正アクセス禁止法」の制限である事は分かります。ですのでNICTが追跡調査しやすくなる面はあるかと思います。とは言え、IoT機器は、総務省平成27年版「情報通信白書」によれば、IoT機器は2020年には約530億個まで増大すると予想されています。

  • NICTだけでいいの?」
  • NICTに調査リソースあるの?」

という素人的な疑問が出てきてしまうのです。

また、IoT機器のセキュリティ脆弱性は、日本国内のIoT機器だけではなく、むしろ海外のIoT機器の方が多いはずです。だとすれば、そこはどうやって調査するのか、といった疑問も出てきます。

登録性でも良いかと思うのですが、調査事項を公開する事を前提条件として、民間のセキュリティベンダ(例えばTrendMicroさん等々)にも調査をさせても良いのではないでしょうか。

その第1段階としてのNICTであれば良いと思うのですが、これからも加速度的に増えていくIoT機器(の脆弱性)については、もっと大きなスキームで取り組むべきではないかなと思います。

 

この記事を書いていたら、産経デジタルで新しい記事が出ていました。

www.iza.ne.jp

IoT機器は情報セキュリティー上の弱点を抱えたものが多い。このためサイバー攻撃者に多数の機器が乗っ取られ、企業などに大量のデータを送り付けて、サービスを停止させる大規模攻撃に悪用される事例が相次いでいる。

 こうした事態に対抗するため、攻撃発信元のサーバーなどの情報を共有し、通信事業者が不正通信を一斉に遮断できる体制を整える

新しい法案の目的は防御体制を整えるための情報共有と不正通信の一斉遮断のための調査という所でしょうか。でしたら、NICTの今の機能の延長線上ですね。とは言え、海外からのIoT機器も多い現状では、調査も大変だとは思いますが。

 

モノのインターネットのイラスト

 

更新履歴

  • 2018年1月20日 PM(予約投稿)
  • 2018年1月21日 PM(産経デジタル記事内容で更新)