パソコン以上に危ないIoTデバイス
第51回:セキュリティの勘違い(3)

多田 芳昭
一部上場企業でセキュリティー事業に従事、システム開発子会社代表、データ運用工場長職、セキュリティー管理本部長職、関連製造系調達部門長職を歴任し、2020年にLogINラボを設立しコンサル事業活動中。領域はDX、セキュリティー管理、個人情報管理、危機管理、バックオフィス運用管理、資材・設備調達改革、人材育成など広範囲。バイアスを排除した情報分析、戦略策定支援、人材開発支援が強み。
2023/11/15
再考・日本の危機管理-いま何が課題か
多田 芳昭
一部上場企業でセキュリティー事業に従事、システム開発子会社代表、データ運用工場長職、セキュリティー管理本部長職、関連製造系調達部門長職を歴任し、2020年にLogINラボを設立しコンサル事業活動中。領域はDX、セキュリティー管理、個人情報管理、危機管理、バックオフィス運用管理、資材・設備調達改革、人材育成など広範囲。バイアスを排除した情報分析、戦略策定支援、人材開発支援が強み。
前回までに紹介した顔認証システムであるが、これだけ便利なのだから手放しで拡大してよいかというと、留意しなければならない点が多々ある。第一は個人情報保護だろう。顔画像は個人情報として、本人の許諾の範囲での取得と利活用に限定する必要がある。この点は他の個人情報管理とともに後に詳述する。
それ以外で最も注意しなければならないのは、一般にはあまり知られていないかもしれないが、デバイスのセキュリティに関する問題である。これはIoT(Internet of Things)の世界で、あらゆるモノがネットワークにつながることで生じる。
最近の家電製品の多くはインターネットに接続され、遠隔で監視や操作などができて便利である。昔ユビキタスと呼ばれたデジタルネットワーク社会が確実に進展しているのだ。
ただ、パソコンやスマートフォンがネットワークに接続されることで、コンピュータウイルスなどサイバー攻撃の脅威にさらされ、防御策が必要になっていることは今や常識だろう。そしてIoTの世界になることで、ネットワークに接続するあらゆるモノが同様の脅威にさらされていることを知らなければならない。
顔認証を支えるデバイスである監視カメラも同様だ。オフラインのものもあるが、ネットワーク接続機種が多く、デバイス自体にシステムが搭載されているので、パソコンと同様の脆弱性対策が必要になる。
もう数年前になるが、世界的にシェアの高かった監視カメラの内部の制御システム(組込みシステムという)に脆弱性が発見され、対策が急がれたことが現実にあった。同様の脆弱性は、ネットワークに接続する複合機にも指摘されたことがある。これらは外部からある命令をネットワーク経由で送ると、監視カメラや複合機に保存されたデータが外部に配信されるような仕組みである。当時、その対象機種のバージョンを新しいものに更新する対応が必要になった。
この種の脆弱性はデバイスが導入された時に発見されることは少なく、導入後にさまざまな攻撃に晒されて発見されることが多い。パソコンであればウイルスパターンの更新を定期的に行い、ソフトのバージョンアップも定期的に行うことでリスク低減されるが、他のネットワークに接続されるデバイスでは同様の対策は困難だ。
理由は簡単である。パソコンの場合は個体数が多く、一つの対策が多くのモノに影響を及ぼすので費用対効果が得られる。しかし、個体数が比較的少なく、システムの標準化もパソコンほどではないネットワーク接続デバイスにおいては個々の対策に労力をかけることが難しく、そう簡単ではないのである。
一方、攻撃を仕掛ける側の労力としては、実はそれほど変わらない。もちろん攻撃成果は対象が多いほど可能性は広がるのだが、脆弱性を突いた攻撃を仕掛けることは同じと考えてよいだろう。そして悪意を持ったバックドアなどを仕掛られても、検出することは容易ではない。
再考・日本の危機管理-いま何が課題かの他の記事
おすすめ記事
エマージング・リスクにどう備える1組織だけでなく、社会としての対応が必要
エマージング・リスク(emerging risks:新興リスク)と呼ばれる、これまであまり認識されていなくて急に出現するようなリスクへの関心が世界的に高まっている。10月にはエマージング・リスクの国際規格「ISO31050」が発行された。今なぜエマージング・リスクへの関心が高まっているのか、組織はどう対応していけばいいのか、日本リスクマネジメント学会(理事長:亀井克之関西大学教授)関東部会の会合で、会員に聞いた。
2023/12/02
リスク対策.com編集長が斬る!【2023年11月28日配信アーカイブ】
【11月28日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:今こそ学び直す!南海トラフ地震臨時情報 その1
2023/11/28
東京都がオールハザード型Step.1を公表
東京都は11月24日、都政BCPを改定した「オールハザード型Step.1」を公表した。これまで主に首都直下地震を想定してきたが、東部低地帯における大規模風水害、島しょ地域での南海トラフ地震による津波被害、火山噴火、中規模な災害など、災害の事象や規模によって対処方法は多岐にわたることなどから、柔軟に対応できるBCPに改定した。これに併せて、被害の実態に即した執行体制を構築することで、災害対応力も一層向上させるという。
2023/11/27
南海トラフ地震臨時情報への理解と対応
リスク対策.com はこのほど、気象庁が2019年5月31日から運用を開始している「南海トラフ地震臨時情報」について、企業がどの程度理解し、対応を検討しているかなどを明らかにするため、アンケート調査を実施した。その結果、臨時情報の内容については概ね理解がされているものの、対応について検討したり、具体的な計画を策定している企業は一部にとどまることが明らかになった。
2023/11/26
リスク対策.com編集長が斬る!【2023年11月21日配信アーカイブ】
【11月21日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:防災・事業継続力を可視化する
2023/11/21
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方