1.新たなボーダレス時代が到来し、サイバーフィジカルセキュリティが進化する(その1)
インターネットの発展は、さらなる変化を引き起こしつつあります。フィジカルとサイバーの境界がなくなり物理的な機器・装置に対しても、サイバー空間を通じてアクセスや制御ができるようになる新たなボーダレス時代に向かっています。
サイバーセキュリティトレンド
- 2016年01月22日公開
今回より、「サイバーセキュリティトレンド2016」に関連する話題をリレー形式でお伝えします。
1.新たなボーダレス時代が到来し、サイバーフィジカルセキュリティが進化する(その1)
インターネットの普及によるボーダレス化
皆様も日々インターネットを利用されていると思いますが、2015年のインターネットの利用者数は全世界で31億人を超えたそうです。インターネットは1980年代に登場してから発展を続け、世界中のどこにいても、世界中の誰とでも、国や地域を越えたボーダレスなコミュニケーションを取れることが当たり前になりました。またインターネットの発展はクラウドコンピューティングを生み、サーバの物理的存在や位置によらずにIT技術を活用できるようになりました。インターネットは人々の生活や企業活動に必須なものとなり、今や世界の基盤の一部であると言っても過言ではないでしょう。
私がインターネットに触れ始めた20数年前は、ブラウザでマルチメディア情報(といってもテキストと静止画像程度)が表示できるだけでも革新的だったのですが、今ではインターネットを使えば、全世界に向けた映像の発信や、見知らぬ海外の人々とのコミュニケーションも簡単にできるのですから、当時の感覚からすると驚くべきことです。
このように、改めて振り返ってみると我々の社会はこの20年程度の短い期間で、 国や地域を越えたリージョンのボーダレス化が急速に進み、インターネットが人々の暮らしや文化に大きな変化をもたらしていることに気付かされます。
新たなボーダレス時代の到来
インターネットの発展は、さらなる変化を引き起こしつつあります。最近聞くことが多くなったキーワードとしてInternet of Things(IoT:モノのインターネット)やInternet of Everything(IoE:全てのインターネット)があります。IoT/IoEにより、コンピュータ制御された物理的な機器や人がネットワーク(サイバー空間)につながる事で、フィジカルとサイバーの境界がなくなり、物理的な機器に対しても、世界中のあらゆるところからアクセスや制御ができるようになる「新たなボーダレス時代」に向かっています。
物理的な機器・装置の例としてはモバイル機器、監視カメラやセンサ、自動車、工場の制御装置、エネルギー管理システム(xEMS)、ビルおよびオフィス内の機器、家庭内の機器(家電)などがあり、多岐にわたります。
インターネットが人々の生活に密着している現在、機器が次々とインターネットに接続されるようになるのは、きわめて自然な流れといえます。インターネットや仮想化技術の発達により様々な新しいサービスが生まれたように、IoTの発達はまた新たな概念やサービスを生み出すでしょう。
新たなボーダレス時代とセキュリティ
攻撃者観点では、インターネットの普及でサイバー攻撃は容易になりました。世界中どこにでもアクセスできるネットワークを利用して、攻撃者は世界中のサーバを探索し、脆弱なものを見つけて攻撃を試みることができるためです。
さらに、新たなボーダレス時代では、これまでは物理的に守られていた機器に対してもサイバー空間を通じてアクセスができるため、攻撃者は世界中の機器に対して物理的な影響を伴う攻撃が可能となります。これは、場合によっては人命にかかわるインシデントも想定せざるを得ない状況になるということです。
IoTにおいてネットワークに接続され始めている機器は、ネットワークに接続する前提で作られていないなど、セキュリティ対策が十分でない可能性があり、攻撃者にとって簡単に攻撃できるターゲットになりえるため、早急な対応が必要になります。しかし、IoTで多種類かつ多数の機器・装置を対象にする場合、管理の面およびコストの面で対策が困難であったり、機器の能力限界でセキュリティ対策の実装が困難であるなど様々な問題に遭遇することになります。
対策に向けて
1. 現状の正しい理解
IoTのセキュリティ脅威に対抗するためには、現状を正しく理解し、適切なセキュリティ対策を漏れなく行うことが必要になってきます。
最近、日本の6000以上のネットワークカメラの映像が、海外のサイト経由でリアルタイム公開されていたという報道がありました。これはカメラの設置者が意図して公開していたのではなく、機器のデフォルトパスワードを利用した不正アクセスによるものでした。街頭や屋内に設置されたカメラを通じてプライベートな空間までも世界中から覗き見られてしまう状況になっていました。
このネットワークカメラの話はIoTの問題の一端を表しています。カメラの設置者は今回のことで気付きを得て、パスワードの変更などの対処を行うことになりますが、このように、現状がどうなっているかを正しく理解することが、セキュリティ対策の第一歩であると言えます。
「サイバーセキュリティトレンド2016」にて、インターネットに接続されている機器を探す検索エンジンを紹介していますが、これらのセキュリティ検索エンジン技術の進歩により、管理者のミスにより意図せずにインターネットからアクセス可能になっている機器の有無を確認することができます。関連する情報について後ほど紹介します。
2. 攻撃する価値を感じさせない
攻撃者が攻撃を行う動機の1つとして、「攻撃により得られる価値」があります。現実世界においても、例えば空き巣が犯行を試みる場合には、犯行で得られる価値とそのリスクを考えて行動するのではないでしょうか。サイバー空間においても、攻撃する価値を感じさせない対策、攻撃のコストが高いと思わせる対策および、リスクが高いと思わせる対策が必要です。
3. 業界知識とセキュリティ知識
IoTのセキュリティ対策のためには、セキュリティの知識に加えて、業界知識(デバイスや業務の知識)が必要になってきます。たとえば自動車のセキュリティ対策を行うには、自動車のシステム構成や発生しうる動作や制御などの知識が必要になるでしょう。つまり、対策のためには各業界とセキュリティ業界が連携して対応することが必要になります。この動きはすでに各業界にて始まっていますが、攻撃者も虎視眈々と狙っているのだとすると、スピードの勝負となるでしょう。
サイバーフィジカルセキュリティはまだ進化途上ですが、幸いなことに世界中のセキュリティ技術者はインターネットの世界でのセキュリティ対策技術を日々研究しており、サイバー攻撃に対する技術およびノウハウは蓄積されています。その技術はサイバーフィジカルの世界にも応用することができるでしょう。また、応用だけでなくサイバーフィジカルセキュリティ技術自体の革新も進み、様々な対策が登場することになるでしょう。
インターネットに接続された機器の把握
先に述べたとおり、インターネットに意図せず公開されていることがないか、設定の不備などでセキュリティ的に脆弱な状態がないか、何がどこにつながっているのかなどの現状を正しく理解することが大切です。このためにインターネットに接続されたデバイスを検索するエンジンを活用する方法があります。
「サイバーセキュリティトレンド2016」でもこのような検索エンジンを紹介していますが、今回は最近リリースされた Censys(https://censys.io/)というサイトを紹介します。
Censysは、ミシガン大学の研究者らによりリリースされた検索エンジンであり、インターネットに接続されたホストやネットワークを検索することができます。Censysは「サイバーセキュリティトレンド2016」で紹介した同様の検索エンジンに比べて先進的な機構を持ち、詳細な条件で検索をすることが可能です。
検索条件の指定はたとえば以下のようになります。
例1:HTTPのページタイトルにCameraという文字列が含まれる機器の一覧の取得
検索条件には「80.http.get.title:Camera」を指定します。約3万件がヒットしました。
ここで、各エントリのリンクをクリックすると、詳細情報を確認することもできます。
例2:HTTPのページタイトルにCameraという文字列が含まれる、日本の機器の一覧
検索条件には「80.http.get.title:Camera and location.country:Japan」を指定します。約1万件がヒットしました。
例3:Apacheを使っている機器
検索条件には「80.http.get.headers.server:Apache」を指定します。約1500万件がヒットしました。
例4:Apacheを使っていて、日本にあり、ブラウザで信頼されている証明書を持つ機器の一覧
検索条件には「80.http.get.headers.server:Apache and location.country:Japan and 443.https.tls.validation.browser_trusted:true」を指定します。約33万件がヒットしました。
例5:日本にあり、ブラウザで信頼されている証明書を持ち、証明書の有効期限終了日が2016年2月の機器の一覧
検索条件には「location.country:Japan AND 443.https.tls.validation.browser_trusted:true AND 443.https.tls.certificate.parsed.validity.end: [2016-02-01 TO 2016-02-28]」 を指定します。約1万3千件がヒットしました。
この他にも様々な検索条件が指定可能ですので、興味のある方はアクセスしてみると良いでしょう。なお、Censysは研究用途向けに公開されていますので、利用条件にはご注意ください。
インターネットに接続された機器を検索する仕組みとしてCensys以外にもIoTデバイスを地図上にマッピングするサービスなどもあります。このような検索エンジンは進化が続きそうですので、今後も継続してキャッチアップしたいと思います。
終わりに
今回は、新たなボーダレス時代の到来と、インターネットに接続された機器の把握方法の一例として検索エンジンを紹介しました。本コラムは今後も月イチで連載予定です。今後ともよろしくお願いします。
* ApacheはApache Software Foundationの商標または登録商標です。
* 本コラム記載の製品、サービスなどの固有名詞は各社・各種団体の商標または登録商標です。
NTTソフトウェア株式会社
クラウド&セキュリティ事業部
セキュリティ事業ユニット