脅威のインターネット - IoTリスクの現状

モノのインターネット（IoT）の爆発的な成長により、産業、企業、医療、家庭環境において低コストのネットワーク接続デバイスが急増しております。これらのシステムは利便性と導入の容易さを提供する一方で、ITセキュリティ対策に長期的な負担を課すことが少なくありません。高度な攻撃者はIoTの脆弱性を悪用し、機密データの窃取、業務の妨害、あるいは他のシステムを標的とする足掛かりを得ようとします。リスクは悪意のある行為に限定されません。善意のユーザーがこれらのデバイスを不適切な環境で使用した場合、意図せず機密データを取得・誤処理し、深刻なコンプライアンスや規制上の問題を引き起こす可能性があります。

IoTリスクは完全に排除することはできないため、評価作業、セキュリティベースラインとシステム強化、脆弱性管理、そして検知と対応を通じて管理する必要があります。本稿では、新たな脅威、それらを悪化させる一般的な問題、そしてIoT導入によって最も課題となるITセキュリティプログラムの具体的な領域について考察します。また、サードパーティリスク管理におけるベンダー審査の重要性、そして製品品質を形作る市場圧力の役割についても考察します。

当議論は、過去2年間に発生した侵害事例に基づいています。最近の動向としては、大規模なサプライチェーン攻撃やOTシステムにおける物理的制御の悪用などが挙げられます。このテクノロジーの導入を検討している組織は、これらの製品やシステムを精査し、安全に社内に統合するための重要な評価ツールを活用できます。既にこれらのデバイスをサポートまたは継承しているチームは、関連するリスクを評価・対処するための実用的なガイダンスを活用できます。

「IoTソリューションの監視機能や物理制御機能の悪用は、公益事業や製造業以外の組織にも、従来のITセキュリティプログラムが対処する必要のなかったリスクを晒す可能性があります。安全な導入と利用を確保するためには、潜在的な故障モードを理解し、ベンダーに責任を求め、他のIT資産を保護するものと同等以上の強固なセキュリティ制御を実施することが不可欠です。」とJoel Sandin氏（IDC ITエグゼクティブプログラム客員調査顧問）は述べています。

エグゼクティブのスナップショット

状況の概要

• IoTおよびOTに関連するリスク増大を促進する動向
  • 攻撃者の成功確率を高める要因
  • 影響の深刻度を高める要因
  • 大規模組織にとっての意義

テクノロジーバイヤーへのアドバイス

• 拡張脅威モデリングおよびリスク評価の実施
• ベンダーの成熟度を評価する
• ベンダー選定の基準
• これらのシステムの導入と管理を支える重要なセキュリティプログラムを強化する
• ガバナンスと組織的認識のギャップに対処する

参考資料

• 関連調査
• 要約