モノのインターネット(IoT、internet of things)は、一般家庭や工場と同様に企業の在り方をも変えつつあります。職場における従業員が個人的に所有するIoTデバイスの存在とその利用は、IoTがどのようにして企業や法人に変化を促したかを最も明確に示しています。
従業員が職場に持ち込むデバイスが、「Bring Your Own Device(BYOD)」制度に従って企業ネットワークに接続する個人所有のラップトップ、タブレット、またはスマートフォンのみという時代は過去のものとなりつつあります。現在は、仕事中でも使い続けることができるように個人用のIoTデバイスが職場に持ち込まれるようになってきています。この個人用のIoTデバイスには、スマートウォッチやフィットネストラッカなどのウェアラブルデバイス、電子書籍リーダやゲーム機などのエンターテインメントデバイス、さらにはスマートコーヒーメーカーやモバイルプリンタなどの小型家電も含まれます。
しかし、このようなIoTデバイスが職場に入り込むと、企業、特にセキュリティチームにとって新たな課題が生じます。もともとセキュリティチームは、会社所有の資産と共に、従業員が個人で所有するデバイスを確実に保護することを職務としていました。当時は、従業員が持ち込む個人所有のデバイスは主にラップトップ、タブレット、およびスマートフォンだけでした。しかし、今日では、それらのデバイスを保護するだけでなく、職場において普及しているさまざまな消費者向けIoTデバイスがもたらし得るリスクや脅威と戦う必要があります。IoTデバイスの技術的な利便性にはセキュリティ上の懸念が伴うことを強調する侵害事例がこのような状況を裏付けています。そのようなセキュリティ上の懸念に関してすべての企業が直ちに対応できるとは限らないことにも留意する必要があります。
企業においてBYODの方針および手順を確立することは、不正アクセスやその他の脅威を防止し、企業資産を保護する上で大きな役割を果たします。しかし、ますます多くの従業員が個人用のIoTデバイスを持参することを選択するにつれて、BYOD方針をIoTセキュリティ環境の変化に適応させる必要性が生じます。そのため、企業は、BYODに対する許可を取り消すという手段に逃れるのでない限り、BYODの方針を更新する必要があります。 本記事では、BYOD環境におけるIoTデバイスに関して、最も一般的なリスクと脅威を回避するためのベストプラクティスを紹介します。
■脆弱性を利用する脅威
サイバー攻撃においてデバイスの脆弱性を利用することは、攻撃者の間で長い間よく使われている手口です。それはIoTデバイスも同じです。実際、何年にもわたって報告されてきた最も影響のあったIoTデバイス関連の事例のいくつかは、脆弱性攻撃によるものでした。これらの事例において、多くの場合は問題となっている脆弱性に対して利用可能な修正プログラムが公開済みでした。 実際、影響を受けるデバイスに修正プログラムを適用することに関する過失は、企業が対処しなければならない問題です。特に、デバイスが持つ脆弱性というのは、攻撃者にデバイスを越えて企業のネットワークや資産へとさらなる侵入を許す可能性があるためです。
脆弱性を利用する脅威を防ぐためのベストプラクティス
以下は脆弱性を利用する脅威を防ぐためのベストプラクティスです。
- 従業員に対して企業ネットワークへのデバイスの接続を許可する前に、従業員のための研修を実施すること。これは、従業員個人のデバイスをITチームおよびセキュリティチームが登録できるようにするためです
- 登録する際、関連するすべてのデバイスおよびシステム情報を記録すること
- デバイスに適切なセキュリティ設定を構成すること
- 正規のベンダや開発者からの修正プログラムや更新プログラムをそれぞれのデバイスに定期的にインストールするよう従業員に促すために、継続的な意識を向上させるプログラムを実施すること
■ハッキング
スマートウォッチ、スマートヘルストラッカー、スマートスピーカー、スマートヨガマットなどのBYOD環境にあるIoTデバイスは、デバイスが持つ特別な機能を多かれ少なかれ職場でも続けて利用するために、従業員によって持ち込まれます。 しかし、ハッカーはこれらのデバイスが持つ機能を利用して企業ネットワークへと侵入する可能性があります。特に、これらのデバイスにはしばしば最小限のセキュリティ対策しか施されていないことを考えると、そのような可能性は小さくありません。企業ネットワークにアクセスされると、不正な活動の実行を攻撃者に許してしまうことが考えられます。以下はその活動の一例です。
- 他の脆弱なデバイスのスキャン
- データの盗聴
- 保存された情報の窃取
- サーバーやシステムへのアクセス
- デバイスのボット化
ハッキングの脅威を防ぐためのベストプラクティス
ハッキングの脅威を防ぐために、以下のベストプラクティスを講じることを推奨します。
- 従業員は、自分のIoTデバイスの特定の機能、特に隠れている可能性のある機能やコンポーネントについて、よく理解すること
- 従業員の個人用デバイスを正しく登録するように従業員に義務付けること
- 実際の仕事で使用するネットワークとは別に、企業は従業員の個人用デバイスを接続するためのネットワークを設定すること
- 不正な活動やネットワークからエンドポイントへの攻撃を検出してブロックする多層的なセキュリティソリューションを採用すること
図1:BYOD環境においてIoTデバイスの普及することで生じるリスクと脅威
■標的型攻撃
簡単なオンライン検索によって、インターネットに露出した多数のデバイスや関連システムを特定できる可能性があります。この具体的な例として、スマートウォッチやスマートスピーカーなどのデバイスが挙げられます。このような状況は、攻撃者がオンラインに露出しているデバイスの中から攻撃対象を選択できるという点において厄介です。具体的には、デバイス固有のシステム情報に基づいて、標的型攻撃を仕掛けることができるかどうか、デバイスとそのデバイスが接続されているシステムの脆弱性が利用可能かを判断することを攻撃者に許してしまうためです。ちょっとしたオンライン検索を行うだけで、攻撃者はさまざまな方法で狙った企業のネットワークや資産にアクセスして損害を与える可能性があります。
標的型攻撃を防ぐためのベストプラクティス
標的型攻撃を防ぐために、以下のベストプラクティスを講じることを推奨します。
- ネットワークにおいてインターネットに露出したデバイス、オープンポート、その他の攻撃経路をスキャンするツールとして、企業はShodanやWhatsMyIPなどのWebサイトやサービスの利用を検討すること
- ネットワークのスキャンによってセキュリティ上の欠陥が発見された場合、必要な対応をすること
- また、デバイスの露出に対する予防策を含め、従業員の間でセキュリティを優先する考え方を促進するための啓発プログラムや学習コースを企業側が実施すること
■情報漏えい
普通の時計が紛失したり盗まれたりするのと同じように、スマートウォッチが同様の被害に遭う可能性もあります。しかし、後者の場合、特にスマートウォッチがBYOD環境で使用されている場合は、例えばメールやメモアプリに含まれた会社の機密情報のような情報の漏えいの危険性があります。デバイスの紛失や盗難というのは、BYOD関連のセキュリティに関して考慮すべき重要なことです。なぜなら、デバイスに含まれる情報は、他の不正な攻撃の中でも、業務妨害やスパイ行為を実行するために、攻撃者によって利用される可能性があるためです。デバイスの紛失や盗難は、意図しない情報開示を含む大規模な情報漏えいの発生の一因となり、BYODプログラムを実施している企業にとっては大きな懸念となっています。2012年のトレンドマイクロのアンケート調査によれば、個人のデバイスを職場のネットワークに接続することを従業員に許可していた企業の約半数が何らかの形で情報漏えいを経験したことが確認されました。
情報漏えいを防ぐためのベストプラクティス
情報漏洩を防ぐために、以下のベストプラクティスを講じることを推奨します。
ITチームとセキュリティチーム:デバイスのセキュリティ設定を有効にして、定期的にネットワークアクセスとストレージ設定を確認すること。このようにすることで、ビジネス要件に応じて、より厳密に情報へのアクセスを規定するためのセキュリティ設定を確認および変更できるようになります。セキュリティ設定を変更する際は特に、データのプライバシーと保護に関する法的義務や国際的な規制を遵守する必要性を考慮しましょう。
従業員:職場に持ち込むデバイスについてITチームとセキュリティチームに報告し、自分のデバイスで利用可能な多要素認証とデータ暗号化機能を使用すること。また、デバイスが紛失または盗難にあった際には、ITチームとセキュリティチームに知らせること。このような報告は、企業が影響を受ける前にセキュリティチームが脅威や攻撃を監視、検出、ブロックする上で役立つだけでなく、侵入を試みる脅威の種類を迅速に特定し、情報漏えいおよび情報紛失を抑え、攻撃に利用されているデバイスを特定するのに役立ちます。
■被害に遭わないためには
セキュリティ意識を持つ文化は、従業員が個人的に所持するデバイスと会社の資産を含む環境においては特に大切なことです。職場で消費者向けのIoTデバイスを利用する傾向が強まっていることを考えると、このような文化を持つことはさらに重要なこととなります。したがって、BYODプログラムはこのような環境に合わせて再評価および再確立する必要があります。また、BYODプログラムには企業と従業員が共に負うべき共通の責任が伴います。具体的には、IoTの継続的な普及に合わせて、BYODに必要なセキュリティを構想し、具体的な方針と手順に落とし込む必要があるということです。
参考記事:
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)