先日のDynがDDoS攻撃を受け、Twitter、Spotify、Reddit、Netflix、Wall Street Jounralなどがサービス提供不能になったのが記憶に新しいですが、攻撃の踏み台になった可能性が高いとして、Hangzhou Xiongmai Technologyが、同社の防犯カメラやIPカメラをリコールするという事態になっています。

Dyn Statement on 10/21/2016 DDoS Attack

ISACAが2015年にISACA会員の140カ国、7,000以上の企業やIT専門家と、主要国の5,400人の消費者に対して実施した IT Risk/Reward Barometerの調査結果によれば、64%の消費者は自分が所有するIoTデバイスのセキュリティをコントロールできると答えているのに対し、ISACA会員の企業やIT専門家でそう考えているのは21%にとどまっています。

ISACA会員のほとんどは、セキュリティ専門家やシステム監査人、システムの品質管理者なので、8割近くの消費者や企業は、IoTのセキュリティ対策が充分でないと考えているわけです。

企業における対策も十分ではなく、73%の企業はIoTデバイス経由で攻撃を受ける可能性が高い、と述べています。さらに、70％のIoTデバイス製造会社は十分なセキュリティ対策を行っていない、と答えています。製品をより早く市場に供給するために、デバイスメーカ−の中にはセキュリティ対策が無視状態のところもあるというのは正しいようです。

一般ユーザーの認知が低いということは、つまり、企業のビジネスサイドやマネージメントの認知も低い、ということです。

メールやシステムへの攻撃、情報漏えいやデバイスの紛失などは認知が向上しましたが、IoTのセキュリティ対策が重要視されないのには、IoTがあくまでビジネス・プロセスである、という点があるのではないでしょうか。もちろんベンダ側の対策が不十分だというのもありますが、一つのデバイスで完了するサービスではなく、あくまでプロセスなので、脆弱性ポイントが多すぎるというのも理由です。セキュリティはEnd-to-endの対策が必要だというのがなかなか見えません。

一般ユーザーやビジネスサイド的には「一体何がIoTデバイスなのかわからない」「つながっていることを知らない」ということも多いので、対策実行案や脆弱性ポイントを説明しても、なかなか理解してもらえない、というのもあるでしょう。

しかしエンドユーザーやビジネスサイドのマネージメント層だけにトレーニングを実施しても、包括的な対策を実行できないのであれば意味がありません。

トップダウンでの対策を実施するには、経営幹部層を巻き込まなければなりません。トレーニングの一つとして、IoTヤカンやIoT歯ブラシ、IoT水筒など、「こんなものですらつながってしまうのか」というバカげた製品を使って、攻撃のデモをやってみるというのも効果的でしょう。