IoTデバイスのセキュリティ設計その1【脅威分析】

IoTデバイスのセキュリティ設計その1【脅威分析】のアイキャッチイメージ

近年その数を増やしているIoTデバイス。
便利になる中で重要視されているのがセキュリティ対策です。
今回はセキュリティ設計のうち、「脅威分析」についてご紹介します。

脅威分析の方法

IoTデバイスやサービスを提供するうえで大切なのがセキュリティ対策です。
セキュリティを強化するためにはまず脅威分析を行い、想定される脅威を明確に認識することが大切です。
では脅威分析とは何をどのように行えば良いのでしょうか。

被害を列挙する

まずはシステムやサービスに対して、回避したい被害を挙げていきます。
そしてそれぞれの被害を生じさせる脅威を想定していくのです。
そうすることで脅威と脆弱性を考えた「攻撃シナリオ」を明確化できます。
攻撃シナリオの数だけ、細分化した「ケース」に分類していくことも可能です。

攻撃手順を考える

最後に上記で細分化したケースを実行できる攻撃手順について想定します。
手順によってはさらに細かい攻撃手順の想定が必要になってきます。

ネットワークカメラシステムでの例

IoTデバイスのセキュリティ設計その1【脅威分析】のイメージ

IoTのセキュリティ設計の例として、ネットワークカメラシステムでの例をご紹介します。
ここでのネットワークカメラシステムとは、住宅や事業所などに設置されたカメラを通してPCやスマホ、タブレット端末などから監視するシステムのことです。

被害の設定

まずはネットワークカメラを使った被害を設定します。
今回想定する被害は下記のようなものです。

  • カメラの画像を勝手に見られる
  • カメラの画像を見られなくされる
  • カメラの画像が勝手に改竄される

それぞれの被害からどんな攻撃手順が用いられたのかを想定します。

攻撃手順を考える

次にどんな攻撃手順が使われたのかを考えましょう。
例えば以下のような攻撃方法が考えられます。

・カメラの画像を勝手に見られる

1. ユーザーになりましてカメラにアクセスする
2. ユーザーが閲覧中の画像データをネットワーク上で盗聴する
3. システムの脆弱性を狙ってカメラ内部に侵入し、画像データを盗む

・カメラの画像を見られなくされる

1. ネットワークカメラをDoS攻撃し、停止状態にさせる
2. ユーザーのカメラアクセスを妨害する

・カメラの画像が改竄

1. ユーザーが閲覧している画像をネットワーク上で改竄する
2. 脆弱性を狙い、カメラ内部に侵入してデータを改竄する

複数の対策を組み合わせよう

このように攻撃手順は多岐に渡るため、IoTセキュリティを考える際にはまず「脅威分析」を行い「どんな攻撃に備えるべきか」を理解しておく必要があります。
しかしすべての対策を実行するのは処理やコスト面でも難しいため、必要な対策を選定する必要があるでしょう。

ネットワーク・データベース・クラウド・サーバ案件多数! インフラエンジニアの転職なら「FEnet インフラ」

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。

合わせて読みたい

SQLインジェクションってなに?引き起こすリスクや対策方法7つをご紹介... そもそもSQLってなに? SQLとは、リレーショナルデータベースの操作を行う言語です。コンピューターで扱う言語ですが、プログラミング言語とは異なります。 SQLでは、データベースに対しデータを問い合わせ(検索)したり、データベースそのものの構造を作成・変更が可能です。また、蓄積されている...
Linuxのセキュリティ対策方法7つ!セキュリティ対策ソフトを入れよう... セキュリティ対策すべき「マルウェア」とは? マルウェアとは、コンピューターやネットワークに害を与えるソフトウェア全般を指します。 サイバー犯罪には様々な種類のマルウェアが使用されており、被害内容としては金銭を要求される、重要情報が盗まれるなどが挙げられます。 さらに、被害者がサイバー犯罪そ...
Macのウイルス感染経路とは?ウイルスの種類やセキュリティ対策8選を紹介!... Macにもセキュリティ対策が必要な理由 Windowsと違ってMacはウイルスに感染しないと考えている人は少なくありません。 しかし、Macでもセキュリティ対策は必要です。ここでは、その理由をいくつかご紹介します。 Macをターゲットとしたマルウェアが増加した もともとはMacに感染する...
ネットワークセキュリティの新たな概念「ゼロトラストネットワーク」とは... ほとんどの企業では、社外からのトラフィックに関しては検査やログ取得を行っています。一方で、社内のトラフィックに関しては信用しているため、特にセキュリティ対策を講じていないことが多いです。 しかし、それでは充分な安全性を確保できないことが増えてきました。 そのような中で注目されているゼロトラストネ...
エンジニアなら判断できて当たり前!シャドーITと「BYOD」の違いとは... 会社側が把握していないIT機器を使い業務を行うことを「シャドーIT」といいます。 それに関連した言葉として「BYOD」があります。 この2つは同じように語られることも多いですが、明確な違いがあります。 本記事ではシャドーITとBYODの違いについてご紹介します。 BYODの概要 BYOD(...