IoTデバイスのセキュリティに不可欠な要素とは：セキュリティを意識したIoTデバイス設計の勘所（3）（1/3 ページ）

あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。

[森本純（トレンドマイクロ），MONOist]

　あらゆるモノがインターネットにつながることで生活がより快適になる一方、IoT（モノのインターネット）がサイバー攻撃者にとっての新たな標的になりつつあります。IoTの世界における攻撃では、しばしばデバイスのセキュリティ設計の不備が狙われています。加速度的に数を増し、個人情報などのさまざまな重要情報をやりとりする可能性のあるIoTデバイスにセキュリティを実装することは、安全なIoTの世界を実現するうえで欠かせない要素です。

　本連載では、IoTデバイスのセキュリティを設計する前に理解する必要があるインターネット上の脅威や代表的な攻撃手法、IoTデバイスにおけるセキュリティ実装の在り方について全3回にわたり解説します。

• 第1回：サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
• 第2回：IoTデバイスが抱えるセキュリティリスクをひもとく
• 第3回：IoTデバイスのセキュリティに不可欠な要素とは

　前回は、センサーとしてエッジ層で情報を収集、送信する役割を担う「IoTデバイスのセキュリティ」に注目し、その特性を踏まえたセキュリティ上の課題と対策の方向性を考察しました。トレンドマイクロでは、従来のITシステムにおけるセキュリティの経験を生かして、IoTの世界においても情報を収集、移動、保存する、「エッジ」「ネットワーク」「クラウド」の3つの層においてそれぞれの保護が必要と考えています。

図1　IoTセキュリティで検討の必要な3つの層

　連載最終回となる今回は、市場に出荷されてからその役割を終えるまでの一連のライフサイクルにおいて、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。

IoTデバイスのライフサイクルにおける4つのステップ

　一言でIoTデバイスといっても、その種類と用途は多岐にわたります。しかし、IoTデバイスを特定の機能に特化させた専用コンピュータの一種と捉えた場合、そのライフサイクルは他のコンピュータと同様に「起動」「初期化」「運用」「アップデート」の4ステップに定義することができます。

1. 起動：ファームウェアをロードし、定義されている通りに作動開始
2. 初期化：起動完了後、設定の読み取り、接続の確立、データの同期を実施
3. 運用：意図された目的を継続的に実行
4. アップデート：ファームウェアアップデートに伴いデバイスを再起動し新しいファームウェアのロードを開始

　IoTデバイスのライフサイクルでは、ファームウェアがアップデートされるたびに、前のサイクルを完了し、新しいサイクルに入ります。最終的に、デバイスが何らかの理由で役目を終えた時点でライフサイクルが「終了」します。

図2　IoTデバイスのライフサイクル（クリックで拡大）