- IoTのセキュリティ関連で発生した損失額は2年間で90億円に-

米デジサート・インク（本社：ユタ州リーハイ、代表者：ジョン・メリル（John Merrill）、CEO、非公開企業）は、このほど「IoTセキュリティの現状に関する調査2018」を新たに実施しました。 同調査により、企業がビジネスモデルにIoT（Internet of Things）を取り入れる際の実践方法に誤りがあるために多額の金銭的損失が発生し続けていることが明らかになりました。 調査の対象となったIoTに積極的に取り組んでいる企業のなかで、IoTのセキュリティ関連で発生した損失が過去2年間で約8,100万ドル（1ドル＝112円換算で約90億7,200万円）にものぼる企業がありました。

「IoTセキュリティの現状に関する調査2018」は、2018年9月に米国、英国、ドイツ、フランス、日本の重要インフラストラクチャ業界700の企業/組織を対象にReRez Researchによって実施されました。 日本企業は100社が含まれており、その内訳は企業規模では従業員1万名以上が60％、1000-2499名が23％、2600－9999名が17％、産業別ではエネルギー、スマートグリッド、スマートシティ関連が51％、自動車、鉄道関連の輸送業が25％、医療関連が14％、消費材産業が10％となっています。

本調査は、一般的な企業においてIoTへの注目が高まっていることを背景に実施されました。 対象企業の83%が、現在IoTが極めて重要であると回答しており、92%が今後2年以内に自社に極めて重要になると回答しています。

最大の懸念
IoTプロジェクトの最大の懸念はセキュリティとプライバシーです。 セキュリティの課題を懸念するという質問への回答は、やや懸念するから極めて懸念するまでの合計で82%に達しました。

デジサートのIoTセキュリティ担当バイスプレジデントであるマイク・ネルソン（Mike Nelson）は、次のように述べています。 「今日の企業はIoTを現実的なものとして完全に把握しており、今後も生活、仕事、娯楽のあり方を革新させ続けるでしょう。 IoTデバイスのセキュリティは、多くの企業が現在も管理に手間取る最重要課題ですが、今後も続くと予測される攻撃の増加に対応するには、最初にセキュリティを組み込み、 それをIoT実装全体に行きわたらせることが重要です。IoTデバイスの認証、暗号化、整合性に適切な注意を払えば、企業はシステムを利用してIoTを確実かつ安全に採用できます」

対応の優劣
企業がIoTの実装で直面している具体的な課題を明らかにするために、多様な言葉を用いて回答者に一連の質問を行いました。 得られた回答は、標準的な調査方法論を使って3つの階層に分類されました。

• 上位企業：問題が少なく、IoTセキュリティの特定側面への対応に精通している企業
• 中間企業：IoTセキュリティの成果スコアが中程度の企業
• 下位企業：多くの問題が発生しており、IoTセキュリティの習得が困難であると答えることが多い企業

IoTセキュリティの誤手順
過去2年間に回答者の企業で発生したIoT関連のセキュリティインシデントについて質問しました。上位企業と下位企業の違いは明白でした。 IoTの実装に積極的に取り組んでいる企業では、IoTに関連するセキュリティインシデントが発生する可能性が高くなりがちです。 期間中に下位企業のすべての企業でIoT関連のセキュリティインシデントが発生した一方、上位企業で発生したのは35%のみでした。 また上位企業との比較において、下位企業では次の領域の問題が指摘される傾向がありました。

• IoTベースのサービス拒否（DoS）攻撃を受けたとの回答が4.6倍以上
• IoTへの不正アクセスがあったとの回答が4.8倍以上
• IoTベースのデータ漏洩を経験したとの回答が2.3倍近く
• IoTベースのマルウェアまたはランサムウェア攻撃を受けたとの回答が3.3倍

調査対象の日本企業100社において、過去2年間に発生したIoTセキュリティ関連で発生したコストの内訳上位5項目は次のとおりです。

• 金銭的損害　（49％）
• 生産性の喪失　（38％）
• 評価・評判の喪失（26％）
• 株式価格　（25％）
• 株式価格　（25％）
• 個人のキャリアに与える否定的影響（21％）

日本企業ではまた、過去2年間にIoTセキュリティの損失により与えられた金銭的ダメージのうち、 法的、およびコンプライアンス違反による損失が中央値で約255万ドル（1ドル＝112円換算で約2億8560万円となっています。

上位層の企業でもセキュリティの誤手順はありましたが、そのほとんど（約80%）が誤手順に起因するコストは発生しなかったと回答しています。 セキュリティを成功させる実践方法として、上位層の企業からは以下が挙げられました。

• 機密データを暗号化する
• 伝送中のデータの整合性を確保する
• 規模に応じてセキュリティ対策を拡張できるようにする
• オンラインによるアップデートによりセキュアに保つ
• ソフトウェアベースの暗号鍵ストレージをセキュアにする

ネルソンは次のように述べています。「IoTの実装を迅速化させる際は、効率の向上とセキュリティ/プライバシーの維持とのバランスが重要です。 セキュリティのベストプラクティスを実践する企業では、接続デバイスへの攻撃に対するリスクと結果的な損害が抑制されていることが今回の調査でわかりました。 一方、認証と識別、暗号化と整合性といったIoTセキュリティのベストプラクティスの採用は増加しているようで、企業は何が問題であるかを理解しはじめています」

推奨事項
調査では、IoTを採用する企業が上位層の企業と同様に成功する上で役立つ5つのベストプラクティスが明らかになりました。

1・リスクを見直す：接続デバイスに対するペネトレーション（侵入テスト）を実施し、リスクのアセスメント（評価）を行います。
そして認証や暗号化などセキュリティの主要な懸念事項に対処するための優先リストを作成します。 強力なリスクアセスメントによって、接続されたセキュリティ環境に漏れがないようにしておきます。

2・すべてを暗号化する：接続デバイスの使用方法を評価するにあたり、保管されたあるいは送信中のすべてのデータが暗号化されていることを確認します。
エンドツーエンドの暗号化を製品の必須条件とすることで、すべてのIoTプロジェクトにこの重要なセキュリティ機能が導入されていることを確認します。

3・常に認証する：デバイスへのすべての接続を、デバイスとユーザーの両面から見直し、そして認証スキームが信頼できる接続だけをIoTデバイスに許可していることを確認します。
電子証明書を使うことで、暗号プロトコルの利用と個体の認証を同時に提供します。

4・完全性の実装：デバイスとデータの完全性の基本として、デバイス起動時には常にセキュアブートを実行し、 OTA（オン・ザ・エアー：オンラインで常に最新に）アップデートを行うことで安全を保ち、 そしてコードサイニングを使用することによりデバイス上で実行されるすべてのコードの完全性を確保するようにします。

5・拡張性を考量して戦略を立てる：IoT導入をサポートできる拡張性があるセキュリティフレームワークとアーキテクチャがあることを確認します。
それに応じて計画を立て、そしてその目標達成を助けられるだけの規模と専門知識を持ったサードパーティの協力を仰ぎ、自社本来の業務に集中できるようになります。

調査の詳細については、https://www.digicert.com/ja/jp/state-of-iot-security-survey/ (日本語版)
およびこちらのブログ（英語リンク：https://www.digicert.com/blog/exploring-cost-of-not-prioritizing-iot-security/）をご覧ください。

^*本調査における下位企業に設定された企業の数値。