[M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策]

M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策― 第6回 スマートハウスのセキュリティにおけるデバイスごとの対策と監視ビジネスの可能性 ―

2016/01/30
(土)
佐々木 弘志 インテル セキュリティ(マカフィー株式会社) サイバー戦略室 CISSP

 本連載では、スマートグリッド、スマートハウス(コネクテッドホーム)、スマートファクトリーが登場し、複雑化するM2M/IoT時代に、セキュリティをどのように捉えるべきかについて、事例(想定例)を交えながら平易に解説している。今回は、スマートハウスにおけるセキュリティの脅威を分析したうえで、欧州ネットワーク情報セキュリティ庁(ENISA)注1のスマートハウスデバイスに対するセキュリティ対策の、グッドプラクティスガイド(優れた対策の指針)を紹介する。最後に、今後予想される、M2M/IoT環境ならではのスマートハウスのサイバーセキュリティビジネスの可能性について考察する。

スマートハウスとは?

 スマートハウスとは、これまで本連載で使用してきた用語で説明すれば、

(1)「エッジデバイス注2」にあたるスマートメーター、スマートロック(鍵)、Webカメラをはじめとした家庭内のさまざまなデバイスから、

(2)「通信網」であるインターネットを介してデータ収集し、

(3)「クラウド」にて集約、解析を行う

ことで、電力使用量の可視化や節約、物理的な鍵の管理、見守りサービスなどの新しい価値を生み出すことのできるシステムのことを指す。

 スマートハウスは、家庭内のネットワークが、スマートフォンやホームゲートウェイを経由して、インターネットと接続しているため、M2M/IoTを利用した事例である。そして、主に個人情報を扱うため、「情報利用型」(機密性を重視する)のタイプに属する注3

 これまでの連載でも見てきたように、スマートハウスのような「情報利用型」の業界のセキュリティ対策については、個人情報を保護する既存の法律や規制があるのみで、M2M/IoTに特化した規制・ガイドラインはいまだに存在しない。したがって、M2M/IoTのデバイス事業者が、通信の暗号化や認証などのセキュリティ対策を、それぞれの裁量で実施しているのが実情である。

スマートハウスにおけるセキュリティの脅威とは?

〔1〕4つの脅威分野

 まず、スマートハウスにおけるセキュリティの脅威とはどのようなものだろうか。

図1に、典型的なスマートハウスにおけるセキュリティ脅威分析を行った結果を示す。セキュリティ上の脅威を、

  1. 「不正侵入/乗っ取り」
  2. 「盗聴/情報窃取」
  3. 「改ざん」
  4. 「サービス停止」

の4つのカテゴリーに分け、スマートハウスの構成要素に対して、代表的だと思われる脅威をマッピングした。

図1 スマートハウスにおける脅威分析例

図1 スマートハウスにおける脅威分析例

出所 インテル セキュリティ資料より

〔2〕スマートメーターにおけるセキュリティの脅威

 図1では、例えば、スマートメーターについては、「改ざん」と「盗聴/情報窃取」を挙げている。「改ざん」の例としては、メーターの測定値を改ざんすることで、実際に使用した電気料金よりも安い料金で利用されてしまうという脅威が考えられる。実際に2012年のFBI注4の報告では、プエルトリコでスマートメーター関連会社の元従業員によって大規模なスマートメーターの改ざんが行われ、電気料金の被害が約3,400万ドルに上ったとされている注5

 また、「盗聴/情報窃取」の例としては、スマートメーターによる電力使用量をモニタリングすると、その家庭の生活パターンがわかってしまう(「ディスアグリゲーション」と言われる)ということが挙げられる。このような情報が盗聴/窃取されると、不在時を狙った物理的な侵入、窃盗につながる恐れがある。

〔3〕ホームネットワーク構成デバイスへのセキュリティの脅威

 また、外部のインターネットとの接続点となっているホームゲートウェイやスマートフォンも脅威にさらされている。これらのデバイスは、家庭内のネットワークに接続されたデバイスを管理する機能をもっているものがあるため、ここを乗っ取られると、物理鍵やカメラに至るまで、外部から不正に操作されてしまい、深刻なプライバシーの侵害となる。

 さらに、サーモスタット(暖房の温度調節器)のように、重要な機能がなく、個人情報もないデバイスに、セキュリティ対策が不要だということも言えない。このようなデバイスは一般的に安価で、強固なセキュリティ対策が難しいが、これらを乗っ取ることで、ホームネットワークを盗聴できる場合があることが知られている注6


▼ 注1
ENISA(エニーサ):European Union Agency For Network And Information Security、欧州ネットワーク情報セキュリティ庁。EU(European Union、欧州連合)加盟各国の情報セキュリティにおける取り組みを支援する組織として、ネットワーク情報セキュリティに関する情報、ベストプラクティス(優れた対策)共有、欧州委員会や加盟国に提言を行うEUの関係組織である。

▼ 注2
エッジデバイス:スマートハウスの中で、末端に設置される組込み機器およびシステムのこと。

▼ 注3
M2M/IoTのセキュリティを議論する前提として、サービスの提供の継続/安全性を重視するのか(重要インフラ型)、情報の機密性を重視(情報利用型)するのかで、M2M/IoTに関する業界を大きく2つのタイプに分けることができる(本連載の第2回参照)。

▼ 注4
FBI:Federal Bureau of Investigation、米国連邦捜査局。

▼ 注5
http://www.greentechmedia.com/articles/read/fbi-finds-smart-meter-hacking-surprisingly-easy

▼ 注6
http://www.net-security.org/secworld.php?id=18062参照。サーモスタットをハッキングして、ホームネットワークが盗聴可能であるという脆弱性が発見された。

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...