メインメージ

IoTとは?

IoTイメージ

モノがインターネットに接続されるようになると新たなビジネスが生まれ、
新しいサービスが誕生し多くの人々に利用されるようになります。

IoTとは様々なモノがインターネットにつながる仕組みのことです。パソコンやスマートフォンだけでは無く、テレビや自動車、エアコンなどのモノがインターネットに接続できるようになり、私たちの生活が便利になることが期待できます。これまでは、パソコンやサーバなどの一部のコンピュータだけインターネットに接続できましたが、コンピュータは小型化され安価になったことにより、自宅や街中、職場など様々な場所にあるものにコンピュータが搭載され、インターネットに接続されるようになりました。近年では、家電製品などが直接インターネットに接続できるようになり、インターネットサービスと連動した製品も販売されています。また、工場の設備や車、家など様々なものがインターネットに接続されて、遠隔管理や操作が可能になってきています。

IoTの読み方

IoTの読み方は「Internet of Things(読み方:インターネット・オブ・シングス)」の略で「アイ・オー・ティ」と呼びます。

IoTの意味

IoT「Internet of Things」の意味は「モノのインターネット」ことです。また「M2M(エム・ツー・エム)」という造語は「Machine-to-Machine」の略語で、IoTと同じような意味で使われており、機器同士で情報のやり取りをする方法です。概ね、多種多様なモノがネットワーク(インターネット)を介して接続され、互いにデータを送受信し合います。従ってIoTはネットワーク(インターネット)を通じて情報収集し、データを活用することで新たな付加価値を生み出す仕組みと言えます。

IoT技術がもたらす社会の仕組み

センサーと通信機能を搭載したIoT機器から集められるデータはサーバに蓄積されます。データを分析し、見える化することにより、これまでの人間が気が付かなかったことに気がつくようになり、新しいサービスや仕事が生まれてきています。例えば、工場においてはIoT技術を利用して、生産ラインの設備同士が繋がり、不良率のさらなる低減、在庫の適正管理、保守・保全のコストカットが可能になってきています。

センサーからデータが収集されクラウド環境に蓄積されるイメージ

IoT機器や衣類に付着するタグなどを通じてデータを収集し、クラウド環境に蓄積されます。

IoT技術

IoT技術の要素は「デバイス技術」「ネットワーク技術(無線)」「プラットフォーム技術」「データ分析技術」「セキュリティ技術」に分類されます。

デバイス技術

デバイス技術は、私たちが生活する現実世界において、対象となる様々なデータを把握することから始まり、取得したいデータに応じたセンサーを用いて、データを収集する制御装置が必要になります。一般的には組み込み系デバイスを用意し、屋外に設置して利用することが多いため、雨や埃などの自然環境を考慮し、消費電力を考慮したバッテリー運用などに注意する必要があります。

ネットワーク技術

ネットワーク技術は、多数設置したデバイスで収集したデータを、インターネット上のクラウドなどに用意したサーバに一元管理され分析します。その為、デバイスからサーバに対して、ネットワーク経由でデータを送受信する必要があります。センサーを登載したデバイスは、屋外に設置していることが多いため、ケーブルを接続した有線ネットワークを用意することが困難であることから、無線ネットワーク技術が重要になります。

プラットフォーム技術

プラットフォーム技術は、センサーデバイスで収集したデータを一元管理し、データ分析で活用していきます。様々な場所に設置されたセンサーデバイスのデータを、どこからでも簡単に一箇所に集中管理できる環境を用意する必要があるため、一般的にはクラウドサービスを利用したIoTシステムの構築を実施します。従って、クラウドをIoTシステムのプラットフォームとして利用するにあたり、クラウド環境での分散処理技術やデータ処理技術を認識することが重要です。データ分析技術でが、クラウドサーバに多種多様なセンサーデバイスから絶えずデータが届き蓄積されているため、大量のデータから傾向を分析したり、特徴を見つけ出したりすることが求められます。大量なデータを効率的に、かつ効率的に利用するためには、ビックデータ分析の技術が不可欠です。データ分析にあたっては、人間が検索的に特徴などを見つけるには限界があるため、機械学習などAI技術を活用しコンピュータに分析や解析を実行させることが重要です。

セキュリティ技術

セキュリティ技術は、IoTシステムに限らず私たちが日常的に利用しているシステムには必ずセキュリティ対策が施されています。IoTでは、多数のセンサーデバイスからインターネットを介してデータが届きますが、悪意のある攻撃者からデータをセンサーで収集した値と勘違いすることで、分析結果が誤り、異なった対応を実行してしまう危険性があります。そのためデータの送信元を確認するための認証技術などセキュリティ技術が重要です。

IoT技術が普及する社会

IoTが普及すると、私たちの生活はより便利になると考えられています。例えば、スマートフォンを利用すると、遠隔で状況を確認し、機器の制御が可能になるので、自宅の施錠確認で防犯対策。また、エアコンの電源、浴室の電源、照明器具の電源確認などで簡単な遠隔操作による確認・作業や、部屋の監視カメラを遠隔接続で、外出中でもペットやお子様の安否を確認するなど、これまでのインターネットの活用に応用ができます。

IoTの仕組み

IoTはクラウドと接続することまで理解することで全体像の仕組みが見えてきます。IoT機器がインターネットに接続すると、クラウドを利用することになり重要な関係性があります。クラウドとは、ユーザがインターネットなどを経由して利用するコンピュータシステムで、クラウドコンピューティングやクラウドサービスと呼ばれることもあります。クラウドにはデータが蓄積され分析されます。IoT分野のサービスはIoT単体では成立しなく、クラウドやビックデータやAIなどの技術と組み合わせることにより、総合的に提供する為「IoTプラットフォーム」と呼ばれます。さくらインターネットでは「さくらのIoT」を提供しており、さくらのクラウドとIoTを利用することで、IoTプラットフォームとしてサービスを提供しています。 またIoTに関する取り組みを「さくマガ(IoT)」ご紹介しています。ユニークなアイディアから未来のサービスを考察する取り組みなど、様々な内容が掲載されております。

IoTに関わる人材

前述で記した内容(IoT技術)から、IoTは単体の技術で成立するのではなく、複合的に連携することによって実現しています。全ての技術を奥深く理解するには相当困難ですが、それぞれの位置づけを把握し、全体像を理解することが重要です。また、IoTに携わる人達は「IT企業、Sler、IoTベンダー」「コンサルタント、診断士」「ユーザ企業、現場責任者」「一般ユーザ(学生・個人)」に分類され、IoTを活用した仕組みを世の中に提供しています。
社会にIoTが普及してくる背景には、企業が取り組む「デジタルトランスフォーメーション(DX)」を進めるとともに、それを支えるデジタル人材が必要不可欠です。「経済産業省の職員が伝える デジタル時代に求められるDX人材とは(「さくマガ」に移動します)」では、経済産業省の職員の方のインタビュー記事で話されておりますので、是非御覧ください。

IoTセキュリティ脅威と対策

IoTの普及により、社会がより便利に変化していく反面、インターネットに繋がる機器の増加によりセキュリティのリスクが増加しています。IoT機器には自動車や医療機器などのセキュリティ事故が起こると、人命に関わるものもあり、セキュリティ対策の観点では一層重大な事項となっています。IoT機器のセキュリティ事故の一例を解説するとともに、セキュリティ対策の必要性を解説します。IoTはいままでネットワークに接続していなかった機器が、簡単にインターネットに接続できるようになったことにより、悪意のある第三者からの攻撃を受け、不正な遠隔操作による情報漏えいや、機器の誤操作を引き起こすといったセキュリティ事故が増加しています。例えば、自動車の車載システムに不正アクセスをして、ブレーキやハンドルを遠隔操作したり、病院にある輸液ポンプを不正に操作して、投与する薬物の量を変更させたりすることで、私たちの生命が危険に晒される場面さえも想定されます。また、自宅に設置したWeb監視カメラの映像が、不特定多数の人からアクセスされて、リアルタイムで公開されてしまったなど、プライバシー侵害の被害も報告されています。被害を受けるだけではなく、IoT機器が不正なソフトウェアに乗っ取られ、踏み台にされ、他のシステムを攻撃する側(加害側)になってしまう場合もあります。

攻撃者がIoTを狙った攻撃による被害例

攻撃者がIoTを狙った攻撃による被害例

IoTセキュリティの特徴

IoT機器が利用するセンサーなどが安価な価格で発売され、機器をインターネットに接続することがますます容易になってきています。技術革新により今まで以上に多くの企業がIoT機器を製造できるようになり、より多くの人々がIoT機器を身近に利用するようになってきました。しかし前述した通り、IoT機器を利用したことによる様々なセキュリティ事故には、IoTシステム特有の性質から発生するものもあります。

項目 説明
長期利用による対策不十分 IoT機器設置後、何年も利用することも多いため、セキュリティ対策が不十分になっても利用し続けてしまう
事故の影響範囲が広い ネットワークを介して関連するシステムや、他のIoT機器にも影響が及ぶ可能性が高い
監視が難しい 画面がない(通知手段がない)などの理由で、IoT機器にセキュリティ上の問題が発生しても気が付きにくい
機器の性能が低い パソコンのように高い性能を持ち合わせていないためIoT機器では、暗号化などに時間がかかり対策しにくい
管理が不十分 管理する機器の数が多いことや、IoT機器設置後はパソコンのように頻繁に操作などは行わないため、
必要なアップデートの実施などの管理が不十分になりやすい

IoTセキュリティ事故を防止するために(ユーザ側の対策)

ユーザ側のセキュリティ事故防止対策は主に次の項目が挙げられます。「信頼できるIoT機器メーカから購入」「パスワード設定を初期値のままにしない」「パスワードを他のシステムと使い回さない」「IoT機器メーカの脆弱性対策用パッチを適用する(ソフトウェアのアップデートを適用)」「使わなくなったIoT機器は電源を切る」です。これらは個々人が意識をする取り組みで人的対策にあたり、製品やWebサービスを利用する際に注意書きで書かれている内容であり、最も基本的な内容です。

システムやサーバの監視・運用とセキュリティの関連性(事業者側の対策)

事業者側が取り組みべきセキュリティ対策は、業種業態、提供しているサービスによって異なります。ここでは、サーバサイド(主にIoTを構築しているサーバシステム)の観点で見ていきます。IoT機器とIoT機器を含んだネットワークでどのようなリスクが有るかを解説するとともに、リスクに対して必要な監視と運用について解説します。

IoTシステム攻撃によるセキュリティリスク

今までネットワーク接続していない機器をネットワークに接続すると、機器が攻撃されるリスクは高まります。その際、機器を適切に監視・運用していないことで危機が生じている脆弱性を放置してしまうことや、実際に脆弱性を突かれ攻撃されてしまうこともあります。攻撃も監視や運用がされていない場合は、発見が遅れてしまったり攻撃に気がつくことが遅れてしまい、データを盗まれてしまうことや、さらには攻撃に自社で提供しているの機器が利用されてしまうこともあります。セキュリティの観点で機器の状態やネットワーク機器、機器の運用について検討していく必要があります。

IoTセキュリティのユースケース

IoT技術を利用したサービスのセキュリティ対策と運用では、サイバー攻撃によるセキュリティインシデントのリスクを防止するとともに、クラウド環境で構成されているシステムの安定稼働を目的として利用されます。

監視と運用

システムやネットワーク機器、設計の段階からどのように機器やネットワーク監視をし攻撃を検知、防御するかを検討してすることが有効です。例えばネットワーク監視による攻撃の対策として不正検知システムの導入があります。ネットワークを流れる通信を監視、不審な通信を検知する事が可能です。運用は監視と同様に、機器の管理や状態の把握、発生した脆弱性に対するアップデート方法などセキュリティを考慮したうえで運用方法を検討する必要があります。特に運用における「ログ管理」については、機器で出力されるログに対して、現在発生している不具合などの情報も含まれるため、どのように送信しどこで管理するか、また届いたログに対してどのように対応するかというのを検討する必要があります。例では、IoT機器から受け取ったデータはネットワークスイッチを中継し、企業ネットワークのログサーバへ格納されます。ログサーバでは格納されたログの管理や異常なログが発生していないか、などの確認を実施します。IoT機器とIoTを含んだネットワーク監視と運用を覚えておくべき用語や、システム監視に関しては次のページを御覧ください。

脆弱性診断

脆弱性診断とは、ネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することです。脆弱性診断を実施することでネットワーク/サーバ、Webアプリケーションのセキュリティの現状を確認することで攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことができます。

ペネトレーションテスト

ペネトレーションテスト(略称:ペンテスト)とは日本語で「侵入テスト」を意味し、システム全体の観点でサイバー攻撃耐性がどのくらいあるかを試す為に、悪意のある攻撃者が実行するような方法に基づいて実践的にホワイトハットハッカーがシステムに侵入することです。IoTを提供しているITシステムに対して、サイバー攻撃の脅威を確認するために実施します。

IoTセキュリティの関連サービス

セキュリティ診断・脆弱性診断サービス

SiteScanシリーズ(OS・ネットワーク・ミドルウェア・Webアプリケーション診断)

お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0WebSiteScanWebSiteScanProの3つのシリーズよりお選びいただけます。

ペネトレーションテスト

外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向け

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう危険性があるかなどをテストをします。 当社が提供するペネトレーションテストは「外部/内部ペネトレーションテスト」と「PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)」と「組込みシステムに対するペネトレーションテスト」があります。

Web改ざん検知

GRED Web改ざんチェック Cloud

JavaScript の変化を見ることにより改ざん検知する「スクリプト変化検知エンジン」、HTML 内の 特定タグsrc 属性や href 属性変化を検知する「リンクタグエンジン」を実装。

SSLサーバ証明書

サイバートラスト、グローバルサイン、デジサート

Webサイトの全ページをHTTP化する常時SSLの必要性が高まっています。
Googleは2018年7月リリースのChrome68から、「https」ではなく「http」で配信されているすべてのページに対して、通信が安全ではないことを通知するラベルを表示しています。

Webアプリケーションファイアウォール

Scutum

外部からの通常のインターネットからの正常な通信上は何も影響はありません。一方内部からの運用上の管理等はSaaS型サービスなので何も意識をすることなくシステムをご利用いただけます。
Scutumは外部からの標的型攻撃などの危険な不正アクセス、内部からのウイルス拡散等による情報漏えい事故を未然に防止します。

モバイルアプリ向けセキュリティサービス

AppChecker/AppChecker Pro/AppProtect

モバイルアプリは、小売、銀行、旅行、ファストフードなど様々な業種で利用が広がっています。特に昨今はモバイル端末を使ったキャッシュレス決済が注目を集めています。モバイルデバイスの利用用途が拡大し、個人情報や現金同様の支払い機能を有することによって、サイバー犯罪の対象としてハッキングの脅威は高まり、モバイルアプリに絡んだ不正利用や不正アプリによる被害が増加し続けています。
アイティーエムは、モバイルデバイスの新たなる領域への拡大と、それに伴うモバイルアプリへの求められる強固なセキュリティ対策としてモバイルアプリ向けセキュリティサービスを提供します。