TOP >  IT・保守サポートの日誌(毎週更新) > 【3月第3週】IoT製品脆弱性問題と製品開発企業の意識改革

【3月第3週】IoT製品脆弱性問題と製品開発企業の意識改革

[`evernote` not found]
このエントリーをはてなブックマークに追加
LINEで送る

IoT製品脆弱性問題と製品開発企業の意識改革

 
IoT製品やその周辺サービスが拡大するなか、市場には十分なセキュリティ対策が施されていないIoT製品も少なからず見受けられます。実際、そうしたIoT製品の脆弱性を利用したサイバー攻撃も跡を絶ちません。ユーザー側の意識はもちろんですが、それ以前に開発企業側の意識改革も必要のようです。
 

防犯Wi-Fiセキュリティカメラが乗っ取られる脆弱性

 
IoT機器の脆弱性とそれを狙ったサイバー攻撃が度々話題となり、世界的にも大きな問題の一つとなっています。今回Kaspersky Labでは、防犯・監視および子どもやペットの見守り目的のHanwha Techwin製のWi-Fiネットワークカメラ「SNH-V6410PN/PNW」において、リモートから管理者権限を奪取し、映像を盗み見たり、ネットワーク内のデバイスへの攻撃を実行できる10件の脆弱性があるとして注意喚起を行いました。
 
Kaspersky Labの調査によると、カメラが外部と通信するために経由するクラウドサービスに脆弱性があり、接続しているすべてのカメラの動画や音声のフィードに不正アクセスすることで、盗み見や、カメラの遠隔操作が可能になる状態であることがわかっています。
 
これを受け、開発元のHanwha Techwinでは脆弱性レポートを16日付で公開し、9件の脆弱性を修正する最新ファームウェアへの更新を呼びかけています。
 
今回のネットワークカメラ事例のみならず各種IoTデバイスを利用する際は、以下の点に注意する必要がありますので、いま一度使用中のIoT機器の確認をしたいものです。
 
・既定のパスワードを複雑なものに変更する。
・脆弱性に対するパッチが提供されているかマメにチェックし、速やかに適用する。

 
『ハンファのWi-Fiカメラ、映像の盗み見・遠隔操作をされる状態に、ファームウェアを更新して対応を』
(出典:2018年3月20日 INTERNET Watch記事より)

 

IoT製品開発の実態調査

 
こうしたIoT製品における脆弱性問題が騒がれるなか、独立行政法人情報処理機構(以下IPA)では、IoT 推進コンソーシアムの法人会員に対してアンケート調査を行い(母数 1740、有効回答数 205 件)、「IoT 製品・サービス開発者における セキュリティ対策の現状と意識に関する報告書」を公開しました。
 
この調査で明らかになったことは以下のとおりです。
 

1.製品開発段階でセキュリティ方針、基準の有無:「ある」と回答した割合は35.6%
2.開発段階において脆弱性対策を考慮している割合:68.3%
3.2で実施している対策のうち、実施率が低かった対策:セキュアプログラミングの適用が41.4%、コーディング規約の利用は36.4%
4.製品のサポート期間中に脆弱性が発見されたことがある割合:26.3%
5.製品出荷後に脆弱性対策が困難な場合がある割合:13.7%
6.その理由で最多が“製品・サービスの機能が最低限であり、パッチ適応が困難”な割合:42.9%
7.製品出荷後1年以内のパッチ適用率:最多だったのは“把握していない”31.1%
8.サポート終了後に脆弱性が発見された場合の対応:最多だったのは“最新の製品・サービスの利用を呼びかける”42.9%

 
製品開発時のセキュリティに関する全社統一の社内方針がある製品・サービスは35.6%で、各開発段階における具体的な手順・技術詳細の社内規則・基準が未整備な製品・サービスが多いことがわかります。また、企業側で製品出荷後1年以内のパッチ適用率を把握していない割合が31.1%で、ユーザー側への脆弱性情報やパッチ適用の情報が伝わっていない可能性もあります。
 
この調査結果により、IPAではIoTの品質確保を目的に、検証の立場における考慮事項を示したガイドブック「つながる世界の品質確保に向けた手引き」を公開しました。また、この手引きの内容が開発・運用の現場で考慮されているかを確認できるように、「つながる世界の品質確保チェックリスト」も同時に公開しています。IoT製品開発に関わるほとんどの企業様は対策済かとは思いますが、ご参考いただけると幸いです。
 
『IoT製品・サービス開発者のセキュリティ対策と意識の調査結果などを公開』
(出典:2018年3月22日 情報処理推進機構より)

 
『IoT機器・システムの安全安心に向けた品質確保の手引きを公開』
(出典:2018年3月22日 情報処理推進機構より)

 

>> PCやネットワークの遠隔サポートならシーティーエスにおまかせください

 
*********

弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
 
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
 
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
 
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
 
シーティーエス株式会社 ブログ担当スタッフより

banner_siryou

ホムテル3G

ホワイトペーパープレゼント

資料請求

よくあるご質問

お客様の声

トピックス

  • 2018.2
    成長企業の新たな刻みを伝えていくメディア「Next Page」に、代表取締役 森田のインタビューが掲載されました
  • 2018.1
    空撮歴15年の有限会社KELEK様と、ドローンを使用した撮影、測量、点検業務において業務提携をいたしました。
  • 2017.9
    ドローン修理・各種保守サポートを開始しました
  • 2017.3
    日本の中小企業を元気にするためのサイト「オンリーストーリー」に、代表取締役 森田のインタビューが掲載されました
  • 2016.8
    環境省「FunToShare」に賛同・参加しました
  • 2016.5
    厚生労働省「イクメンプロジェクト」に賛同・参加しました
  • 2015.11
    『IT・保守サポート豆知識』ページを開設しました
  • 2015.05
    特定労働者派遣事業の認可を取得しました(特13-318571)
  • 2014.09
    ホームページをリニューアルしました
  • 2014.09
    資本金を1000万円に増資
  • 2014.03
    『お客様の声』ページの掲載を始めました
  • 2013.06
    『IT・保守サポート用語集』ページをリニューアルしました
  • 2013.04
    『キッティング自動化ツール「SetROBO」』の販売代理店となりました
  • 2013.03
    『システム延命サービス』の販売代理店となりました
  • 2012.12
    採用情報の掲載を始めました
  • 2012.09
    おかげさまで創立3周年を迎えました
  • 2012.07
    東京都千代田区神田に営業所を移転
  • 2011.06
    facebookページ『ITサポート&サービス情報局』を開設
  • 2011.03
    次世代型顧客獲得ツール『Navigator』の販売代理店となりました
    アプライアンスサーバーの24時間365日オンサイト保守を受託
  • 2010.09
    東京都中央区築地に営業所を開設
  • 2010.05
    NASシステムの24時間365日オンサイト保守を受託
  • 2010.04
    ロジテック株式会社が運営する『データ復旧サービス』のサービスパートナーとなりました
  • 2010.03
    大手ハードウェアメーカーのPOSコールセンター業務を受託
  • 2010.02
    全国寿司チェーン店のタッチパネルPC設置業務を受託
  • 2010.01
    デジタルビジネス協同組合、システムサポート委員会の委員長に就任
  • 2009.12
    デジタルビジネス協同組合に加盟
    八王子商工会議所に加盟
  • 2009.09
    ホームページを開設
Copyright© 2009 シーティーエス株式会社, All Rights Reserved.