国がIoT機器のセキュリティ対策に乗り出すようです
国がIoT機器のセキュリティ対策に本格的に乗り出すとの報道がありました。IoT機器とは、家電等の機器をインターネットに接続して操作できる技術です。例えば、スマホ等で外出先から自宅のエアコンのスイッチを入れたり、お風呂のお湯を入れたりすることができる技術です。
最近は、色々なものにIoT技術が活用されて広範囲に普及が始まっています。しかし、インターネットを経由した技術である為、当然、セキュリティ上の問題点も発生しています。不正な輩がインターネットを経由して各種機器を不正に操作してしまう恐れがあるからです。
特にシステムにあまり詳しくない一般の方が、家電の便利な機能として活用するケースが多いと思いますが、十分なセキュリティ上の対策をしていない方が多いと思います。
通常IoT機器は、外部からの不正侵入を防止する為、操作するにはIDとパスワードが必要になります。このIDとパスワードは、購入段階では初期パスワードが設定されています。最初に使用される方が、この初期パスワードを自分専用のパスワードに変更して使用することが、メーカーから強く推奨されています。しかし、変更せずに使用されている方が多いようです。そもそも、変更することを知らない、または変更方法が分からない方も多いと思います。
また、パスワードが変更されていても極めて類推されやすい記号や番号のケースも多いと思われます。悪意のある第三者は、初期パスワードやありふれたパスワードでIoT機器に不正アクセスを試み、うまく進入できればIoT機器を不正に操作することができるようになります。
一旦、不正の第三者に乗っ取られたIoT機器は、その機器を踏み台にして、さらに多数の機器に対して不正なアクセスが試みられることになります。一旦不正に侵入されると被害が非常に拡大するリスクがあります。また、ネットを経由して不正なウィルスを拡散されることも想定されます。
総務省は、このような事態を憂慮して、政府自らが重要なIoT機器に対してアタック(不正侵入の試み)を行うとの方針を発表しました。今後、東京五輪やアジア大会、各国首脳の集まる重要会議が日本で行われますので、テロ対策の意味でも必要になってくるのでしょう。
当面は、防犯カメラとルーターに対象機器を絞って実施するとのことです。実施方法は、よく使われる100通りのパスワードを使って、政府機関が防犯カメラやルーターにアクセスを試みます。万が一、アクセスが可能となれば、機器の所有者に対して状況を伝えるというものです。
対策方法としては、いささか強引な手法のような気がします。運用方法を誤れば個人のプライバシーに対する重大な侵害行為になります。憲法で保障されている「通信の秘密」に抵触しないか懸念もあります。
しかし、急速に拡大するIoT機器へのセキュリティ対策としては、これくらいな手法も必要な時代になって来たのかもしれません。運用体制を厳格にし、個人のプライバシーなどの侵害がないような歯止めを十分にかけてもらっての実施を願っています。
むかし、防犯カメラを町中に設置する時、多くの方がプライバシーの侵害であるとして反対していました。しかし、今日のように防犯カメラが数多く設置されるようになると、防犯カメラは警察による犯罪捜査の基本インフラとなっています。犯罪捜査の初動確認は、防犯カメラ映像の確保のような動きになって来ています。
IT技術の急速な発達の中で個人のプライバシーと社会全体の安全が微妙なバランスの上に成り立っている状況となっています。この問題は、今後、色々と物議を醸すことになると思いますが、社会全体のセキュリティ確保の為には、一定程度の我慢も必要なのかもしれません。