サードパーティリスクについての海外記事が出ていました。同じ傾向があるとすると日本のIoT機器も同じ課題を抱えていると言えそうです。
www.techrepublic.com
キタきつねの所感
記事の元ソースとなったレポートは、Ponemon InstituteとのShared Assessmentsの共同発表の様です。※今回は元レポートを確認していません
A New Roadmap for Third Party IoT Risk Management - Shared Assessments
以下、記事から主な調査結果データを引用しますが、
「組織のサードパーティリスクがIoTの増加によって大幅に増加する」:71%
「サードパーティのセーフガードとIoTセキュリティポリシーがデータ漏えいを防ぐのに十分であるかどうかを判断することは不可能」:59%
回答者は、今後数年間で、依存するIoTデバイスの数が2倍になると予想
37%だけがサードパーティのIoTの露出を追跡し、61%がIoT関連のデータ損失を予測
(Tech Republic記事より引用)※機械翻訳
多くの企業がIoT機器に対するセキュリティ対策を「してない」にも関わらず、企業内にサードパーティのIoT機器が増え続けている事を示唆しています。
特に潜在的な課題として挙げられるのが、IoT機器を通じてのハッカーの攻撃かと思いますが、IoT機器に対して監視や対策を取っている企業は4割未満という結果です。
その一方、今後数年間でIoT機器は2倍になると予想されている訳ですので、残り6割の企業は機密データの漏えい、ランサム攻撃、DDoS攻撃など、悪意のあるハッカーの攻撃対象となりえる潜在的な脆弱性が拡大し続けている事を認識し、リスク軽減に向けて対策していくべきかと思います。
余談です。昨日経産省(METI)からリリースされていた、「昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性について」という素敵に長いタイトルのレポートで、まとめられている直近の攻撃動向を見ると、IoT機器に関する記述は無いのですが、この考え方の中で、IoT機器にも読み替える事ができそうな基本的な脆弱点が列記されています。
www.meti.go.jp
概要版からサイバー攻撃の部分を引用しますと、「ネットワーク機器の設定ミス」(※標的型の更なる高度化)や「リスト型攻撃」(※不正ログイン被害の継続的な発生)の部分が、IoT機器でも警戒すべき部分です。
しかし、そもそもIoT機器の監視が甘いという、前述の調査データを考えるならば、IoT機器の脆弱性は、サプライチェーン攻撃(上記図の真ん中)で書かれている事がそのまま当てはまってきます。
サプライチェーンをIoT機器に読み替えてみても、そう違和感なく読めてしまう、これが現在多くの企業における、IoT機器が置かれている現状なのではないでしょうか。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
