セキュリティ 101 08-05-2020

スマートホームより賢くなる:ホームと IoT デバイスを守る 7 つの方法

Mike Nelson

IoT セキュリティ分野で 10 年以上過ごす中で、数多くの攻撃や脆弱性が IoT デバイスに影響を与えるのを目の当たりにしてきました。それでも、私はスマートホームデバイスを避けようとは思いません。セキュリティを確保するための手段を講じれば、あなたも避ける必要はありません。

スマート温度計からベビーモニターに至るまで、自宅に IoT デバイスを導入するとより便利な生活を送れますが、望んでいないサイバー攻撃にあなたとあなたの個人情報がさらされることにもなります。攻撃の種類は、ベビーモニターを使った盗撮などの気味の悪いものから、個人情報(クレジットカード情報、生年月日、社会保障番号)の盗難が関係する金銭的なリスクを伴うもの、そして命の危険を伴うもの(医療デバイスまたはスマートカーが侵害された場合)など多岐にわたります。つまり、暗号化なしに送信されたり、IoT デバイスに保管されたりする個人情報は危険にさらされということです。これは、IoT デバイスを完全に避けるべきことを示しているのでしょうか。必ずしもそうではありません。

これは、ある種の矛盾した状況です。スマートテクノロジーのメリットはすべて享受したいのに、デバイスの安全性が保証されることを望んでいるからです。こうしたデバイスのセキュリティ担当者は誰でしょうか。

消費者は、自分の購入した IoT デバイスが安全であることを期待する権利があります。これは、法律や規制が規定しています。しかし、現時点では IoT デバイスのセキュリティを規定する法律はありません。IoT デバイスの開発に関してセキュリティを組み込むようメーカーが政府から圧力を受けていない以上、エンドユーザーであるあなたが、デバイスをより安全にする責任を積極的に担っていく必要があります。

規制当局またはメーカーの取り組みとは別に、消費者は IoT デバイスのセキュリティに関して認識を深め、責任を持ってセキュリティを実施していく必要があります。スマートデバイスの安全性を確保するために今すぐできることを紹介します。

1. 購入前に調査する

デバイスを選択する前に調査を行って、一般的な脆弱性、収集されるデータの種類、データの保護方法と共有方法について確認します。プライバシーポリシーを読んで、自分がデータに対してどの程度制御が与えられているか、またデータがどのように活用されるかを調べます。セキュリティ上の懸念がある製品の購入は控えます。価格よりプライバシーを優先してください。すべての消費者がこうした手順を踏むならば、メーカーはセキュリティを優先せざるを得なくなります。

2. 工場出荷時のパスワードは使用しない

工場出荷時のパスワードは、メーカーがデバイスに事前設定したパスワードです。このパスワードはユーザーマニュアルに記載されていることさえあります。メーカーが工場出荷時のパスワードを提供している場合、消費者はそれを変更して、適切なパスワード慣行を実施していく必要があります。セキュリティ機能がいかに強固であっても、工場出荷時のパスワードを使用するデバイスは格好の標的になるため、デバイスとデータが危険にさらされます。代わりに、長くて強固なパスワードを選び、6 カ月ごとにパスワード変更を行ってください。可能であれば、2 要素または多要素認証を採用しましょう。また、パスワードマネージャや認証アプリの使用を検討してもよいでしょう。そうすることで、ハッカーがネットワークに侵入するのがかなり困難になります。

3. ソフトウェアをアップデートする

ソフトウェアアップデートにより、デバイスで最新のプロテクションとセキュリティパッチが実行されることになります。デバイスによっては自動アップデートが提供されますが、デバイスの手動アップデートが必要であるかどうかを確認してください。ハッカーが手口を巧妙化させ、新しい脆弱性を見つける中、ソフトウェアアップデートがセキュリティパッチを提供する手段であるためアップデートは欠かせません。メーカーからアップデートが提供されている場合、それらをインストールすることで、最新の状態のソフトウェアを実行するようにしてください。

4. 権限を確認する

リモートアクセスやロケーション設定などの不要な設定をオフにしてください。必要な設定の権限のみを許可します。デバイスをネットワークに自動接続せず、ネットワークが必要な場合にのみ接続します。デバイスがインターネット接続できるからといって、接続しなければならないわけではありません。さらに、デバイスを疑わしいネットワークやパブリックネットワークに接続しないでください。公共の Wi-Fi は安全とは限りません。

5. スマートフォンも忘れずに保護する

スマートデバイスの多くはアプリに接続するため、スマートフォンも忘れずに保護する必要があります。スマートフォンが紛失または盗難にあった場合でも、搭載されたアプリを通して誰かがスマートホームにアクセスする事態は避けたいはずです。

6. デバイスを追跡する

ネットワークに何が接続されているか把握してください。ホームネットワークに新たなデバイスが接続されるたびに新たな脆弱性が生じます。脆弱なデバイスが 1 つ存在するだけでネットワークが危殆化されてしまいます。必要なデバイスだけ使用し、古くなったデバイスはネットワークから外してください。古いデバイスを取り除く際には、それらを工場出荷時の設定に戻し、別のユーザーがデータやネットワークにアクセスできないようにしてください。

7. おまけ:別のネットワーク

専門知識と意欲があるユーザーは、IoT デバイス用に別個の安全なネットワークを設けることができます。スマート冷蔵庫とノート PC のネットワークを分けて、機密情報を守る追加のセキュリティを実装できます。

将来的には、デバイスの設計段階におけるセキュリティの組み込みをメーカーが責任を持って行うことを期待します。デバイスの安全性とセキュリティを確保するためにメーカーに期待する項目は多々ありますが、それまでは、上記のステップを踏むことで、自宅や個人空間に持ち込んだ IoT デバイスのセキュリティを確保することができます。玄関のドアを施錠せずに外出することがないのと同様、スマートホームも攻撃にさらしたままにしないでください。

米国連邦捜査局(FBI)も IoT デバイスをセキュリティ保護するよう勧めており、FBI ポートランド支局は次のように述べています。「セキュリティ保護されていないデバイスを通じて、ハッカーはルーターへの経路を得ることができ、ホームネットワーク上の安全だと思っていた他のデバイスへのアクセスもこれらの悪意のある侵入者に渡してしまうことになります」。長期的にみると、IoT デバイスはますます一般的になることでしょう。ある調査によると、2030 年には 500 億以上のコネクテッドデバイスが存在することになります。

つまり、IoT デバイスは非常に便利で、あなたのライフスタイルに利益をもたらすものの、新たなリスクを伴うこともあります。これは、IoT デバイスの使用を避けるべき理由ではなく、ただそれらを賢く利用し、リスクを上回るメリットを得られるように適切な措置を講じる必要があることを意味します。

UP NEXT
PKI (公開鍵基盤)

スマートスピーカーの安全性に欠かせないものは何か ハックされるとしたら?

5 Min

特集記事

AI、量子コンピュータ、デジタルトラストが形成する来年のトレンド 10 選

耐量子コンピュータ暗号に向けた取り組みの現状を追う

FIPS 203、204、205 発表以降の PQC の最新情報

10-31-2024

DigiCert Device Trust Manager の一般提供を発表