IoT(Internet of Things:モノのインターネット)デバイスは、時間や手間の節約に役立ち、QoL(quality of life)を向上させる。一例を挙げると、スーパーにいるときに自宅の冷蔵庫の中身を確認したり、オーブンを温め始めたりできる。このようにしてお金の節約、不確かさの排除、家族の夕食を準備する時間の節約ができる。このことはすばらしいし、数多くの人々がこうした機能の恩恵を受けるだろう。しかしながら、あらゆる変化がそうであるように、チャンスにはリスクが伴う。特にオンラインセキュリティやプライバシー上のリスクがあるが、こうしたリスクの一部は同時に現実世界にも拡大する。たとえば配管工事のために表玄関のロックを遠隔から解除できるということは、かなりの時間の節約にはなる。しかしクラウドのアカウントをハッキングすれば、ハッカーもまた玄関を開けられるし、おそらく自宅へのアクセス方法を闇市場で売却できるということも意味している。そして、これはなにもハッキングだけに留まらない。こうしたガジェットは家庭や生活で起きていることについてのデータを収集するため、ガジェットそのものがプライバシーに対するリスクを脅かす。
上記の行動リストは広範囲に及んでおり、少々偏執的かもしれない。「Webカメラ(のレンズ)に絆創膏を貼る」ように。しかし、IoTへと飛躍を遂げた場合に、どういった類のことを行えば、自分のセキュリティとプライバシーの制御を保てるかというアイデアが得られるはずだ。IoT世界のセキュリティはそれより前の時代と変わらない。セキュリティパッチを適用し不要なサービスを停止することと同様、パスワードはIoTでもやはりとても重要である。
上図は一般的なスマートホームの構成と、直面するであろう攻撃の種類を示している。スマートホームは導入が低調で、散在しているため、現時点では標的となっていないものの、既存の技術でどのレイヤーでも攻撃し得る。
プライバシーやセキュリティについて、非常に心配に思うのであれば、こうしたガジェットを買ったり使ったりしないことが、安全にいるための唯一の方法である。ただ多くの人にとっては、IoTやスマートホームの、時間を省ける利便性というメリットのほうが、プライバシーやセキュリティについて予期される大半のことを凌駕するのだろう。また現時点では、IoTデバイスは広く標的にはなっていないし、標的になる場合でも攻撃者はデバイスの計算能力を狙うだけで、まだデータや家庭は対象になっていない。実際の現在最大のリスクは、こうしたデバイスの製造業者が個人データをどのように扱うかという点にある。結局のところ、盲目的に飛び込むべきではないということだ。リスクを低減するためにできることを以下に挙げる。
・パブリックIPアドレスと、こうしたデバイスとを直接的に接続しない。デバイスのフロントに、ファイアウォールか最低でもNAT(Network Address Translation)ルータを置いて、インターネットからデバイスが発見できないことを確認する。パブリックIPアドレスに対し、デバイスがポートを絶対にオープンできないようにしたいなら、ルータ上のUPnP(Universal Plug and Play)は無効にすること。
・デバイスやサービスのプライバシーおよびセキュリティの設定項目をくまなく見て、不要な設定をすべて削除する。ただ、数多くのデバイスで設定項目が極めて少ないのが現状だ。何かプライバシーに影響することがデバイスにあると考えるなら、不必要な機能は停止しよう。たとえば、スマートテレビやゲーム機で、実際に音声コマンドを使うだろうか?今まで使ったことがないなら、すぐに無効にするといい。後々その機能を試してみたくなったら、いつでも有効に戻せる。
・IoTデバイスのクラウドサービスに登録する際には、強力かつ固有のパスワードを使用し、さらにパスワードを安全に保つ。何者かがどうにかしてパスワードを盗み出したリスクがあると考えるなら、パスワードを変更すること。また、こうしたデバイスはすべて、メールアカウントを通じてパスワードをリセットできるようにしているので、当該メールアカウントに本当に強力なパスワードが付与されて、パスワードが安全に保たれていることを確認するとよい。また使えるところでは2FA(2要素認証)を用いる。今日ではたいていの一般的なメールサービスで提供されている。
・PCやタブレット、携帯電話からマルウェアを取り除いておくこと。マルウェアは頻繁にパスワードを盗む。そのため、スマートホームサービスやそれに結び付いているメールアカウントのパスワードも盗む可能性がある。そうしたパスワードを使うデバイスにはセキュリティソフトウェアをインストールし、最新のセキュリティ修正でソフトウェアを更新する。さらに、これは一例だが、変なスパムメール内のリンクや添付ファイルを絶対にクリックしてはならない。
・自宅玄関にリモートからアクセスできるスマートロックをどうしても用いたいのであれば、注意深く検討しよう。とはいえ、玄関マットや植木鉢の下に鍵を置いておく類の人間だったら、スマートロックのほうがたぶん安全だろう。
・セキュリティカメラや隠しカメラを導入するなら、不要なときはネットワークから切り離す。自宅からクラウドへ定常的に音声を送信するデバイスについても、実際に四六時中使うのでなければ、同様にすることを検討するとよい。大半のIoTデバイスの計算能力はそれほど高くはなく、そのため動画・音声の処理はクラウド上のサーバで行われる傾向にある。このことを思い出そう。
・自宅のWi-Fiで暗号化(できればWPA2)を用いること。強力なWi-Fiパスフレーズを使い、またそのパスフレーズを安全に保つようにする。パスフレーズが無かったり弱かった場合、あるいはWEPのような廃止されたプロトコルを使用している場合、セキュリティの観点からは自宅のWi-Fiはオープンなネットワークとなる。
・喫茶店やショッピングモールやホテルのネットワークなど、オープンなWi-Fiネットワークを使用する際には注意が必要だ。あなたや使用中のアプリケーションが平文でパスワードを送信すると、それが盗まれて中間者攻撃の被害者となり得る。オープンなWi-Fiを使用する際には常にVPNアプリケーションも使うこと。繰り返しになるが、あなたのパスワードが、あなたの身元やあなたのIoTへの鍵となる。
・攻撃ポイントを限定すること。必要になることがないと分かっているデバイスは、導入しない。もはや必要がなく使わないデバイスは、すべてシャットダウンして撤去するとよい。最上位機種の洗濯機を購入したところ、Wi-Fi経由で接続可能なことに気付いたのなら、接続する前に本当にその必要性があるのかを検討する。実際にはオンライン機能をまったく使わないことに気付いたのなら、デバイスをネットワークから切り離すること。
・どのメーカーからデバイスを買うか選定する際に、セキュリティやプライバシーについてメーカーが説明している内容や、プライバシー原則について確認すること。性急に製品を市場に投入して、セキュリティ面でなにか手抜きをしていないだろうか?製造業者があなたのデータを処理する動機としては何があるだろうか?広告主にデータを売っていないか?データの一部でも格納していないか?そして、どこに格納するのか?
・今日のうちにホームルータの設定を確認すること。インターネットに、つまりWANインターフェイスにさらされているサービスについては、無効になっている必要がある。管理者用パスワードは強力で固有なものに変更しなければならない。ルータのDNSの設定が、ISPのDNSサーバか、OpenDNSやGoogle DNSのようなオープンなサービスに向いており、改ざんがされていないことを確認する。
・ルータのファームウェアを最新に保つ。特に製造業者がもはやセキュリティ更新を行わないのであれば、ルータを新しいものに置き換えることを検討する。セキュリティアップデートを行わなかったり、2年後にアップデートをやめるような製造業者からは手を引くことを考える。ホームネットワークのセキュリティはルータから始まり、ルータはインターネットに晒されているのだ。
上記の行動リストは広範囲に及んでおり、少々偏執的かもしれない。「Webカメラ(のレンズ)に絆創膏を貼る」ように。しかし、IoTへと飛躍を遂げた場合に、どういった類のことを行えば、自分のセキュリティとプライバシーの制御を保てるかというアイデアが得られるはずだ。IoT世界のセキュリティはそれより前の時代と変わらない。セキュリティパッチを適用し不要なサービスを停止することと同様、パスワードはIoTでもやはりとても重要である。