PCとどう違う? IoTのインターネット接続

サイバー攻撃から身を守れ!IoTセキュリティの基礎知識 #3

2月1日から3月18日は、政府が定めるサイバーセキュリティ月間。IoTが普及したことで、そのセキュリティへの関心も高まっている。IoTセキュリティについてより理解を深めるために、今回はPCのインターネット接続と比較しながら、IoTデバイスがどのようにインターネットに接続するのかを説明する。 IoTでは、さまざまなデバイスがインターネットに接続されるが、その接続の仕方は、PCがインターネットに接続する方法とは異なる(図1)。IoTのネットワーク接続を説明する前に、まず、一般のPCなどのインターネット接続をおさらいしておく。 まず、インターネット接続とは、IP網への接続である。IPとは、Internet Protocolを指し、IP網とは、IPアドレスで識別されるホストコンピュータ同士が、IPパケットを交換するネットワークである。IP網の重要な特徴は、このIPパケットをネットワーク間で中継、分流、合流できることと、有線、無線に関わらず世界中にネットワークがくまなく張り巡らされていることにある。中継では、パケットをいったん読み取った後、次の目的地に送り出すが、この二つの接続は別であるから、両者の媒体が有線と無線で異なっていても、また両者の通信速度が違っていても接続が実現される。また、相手先のホストに到達するネットワーク経路は一つとは限らないため、さまざまな経路の中から速度やコストに応じて一つを選択したり、パケット単位で経路を切り替え、目的地で合流させて一つのストリームにすることで増速することもできる。 IPパケットの中には、ありとあらゆるデジタル情報(データ)を表現することができるので、別のIPパケットをカプセル化して取り込むこともできる。たとえば、ホストXからホストYに宛てたパケットがあるとする。このパケットをホストAが受け取り、ホストBへのアドレスを付けた封筒に入れて送る。この一回り大きくなったパケットを受け取ったホストBは、封筒を開封してホストXからホストYへのパケットを取り出す。そこにはホストY宛てだと書いてあるので、パケットをホストYに渡す。会社に届いた郵便物を、内容物を開けることなくまるごと社内便の封筒に入れて、受取人に送り届けるのと同じである。このようにすると、X、Yというアドレスを暗号化して通信を秘匿化できるようになる。 PCのインターネット接続では、オフィスや家庭のネットワークは、ホームルーターを介してフレッツなどの公衆回線網に接続し、公衆回線網を通じて送られてくるIPパケットは、インターネットプロバイダがインターネットに中継する。IPv4ではこの過程で、ホームルーターは、NAT(Network Address Translation)によって、家庭内LANのローカルIPアドレスと、インターネット側のグローバルIPアドレスとの変換を行う。さらに、ホームルーターは、TCP層のポート番号に応じて接続を制限する。たとえば、インターネット側からは、家庭LAN内のWebサービス用の80番ポートだけへのアクセスを許可し、他を禁止する。逆に家庭内からインターネットに向かっては、危険なWebサイトのすべてのポート番号への接続を禁止し、他を許可する。このような制御は、TCP/IPのネットワークパケットには送信元(ソース)と受信相手(デスティネーション)のIPアドレスと、どのようなサービスにアクセスするかをポート番号として示すことになっているため、可能になる。 TCP/IPのパケットの最終的な目的地は、PCの上で実行しているWebブラウザやEメールソフト、サーバーの上のWebサーバーやメール転送エージェント(MTA)などのアプリケーション層のプログラムである。これらのプログラムは、標準的な方法で暗号化を施すことがある。たとえば、Webサービスへの接続には、従来はHTTPが用いられてきたが、最近は、TLSの暗号化規格を採用したHTTPSが使用されることが多い。TLSは通信文の暗号化だけでなく、証明書を使って通信相手の真正性を確認するためにも使われる。 このように、インターネット通信は、1970年にARPANETが始動し、1982年にTCP/IPが標準プロトコルに制定されて以来、世界を一つに結ぶ標準的な通信法として広く普及してきた。開発当初は、WWWなど存在しなかったが、TCP/IPの基本設計が優れていたので、WWW、Eメール、SNSなどの有用なサービスが花開き、暗号や認証などの技術も取り込まれて、安全な通信体系が構築された。ここに述べたTCP/IPの基本動作は、IPv4でもIPv6でも同じである。40年以上の歴史があり、機能拡張や安全性に関しても豊富な検討・研究がなされており、安心して使える基盤技術である。 IoTは、モノがインターネットにつながることであるためTCP/IPを利用することは間違いないが、実際は、TCP/IPとは異なる様相で接続されることがある。すなわち、TCP/IPに接続する機器をゲートウェイ(あるいはフォグ)層として、さらにその下にIoTネットワークと呼ばれる層がつながり、末端のエンドポイント層のIoTデバイスは、このIoTネットワークに接続する。エンドポイント層のIoTデバイスが収集する情報は、IoTネットワークとゲートウェイ(フォグ)の2層を通じてインターネットに発信されることになる。図2に示すように、クラウドまでを数えると、5層のアーキテクチャを構成する。 IoTデバイスは、なぜ直接インターネットに接続しないのであろうか。その理由としてまず、エンドポイントデバイスは、計算能力が低く、ソフトウェアも十分に搭載されていないので、TCP/IPを実装できないことが挙げられる。TCP/IPは、さまざまな通信を1つの通信媒体に載せるので、マルチタスクを実行できるOSが必要である。そのため、OSレスで動作するエンドポイントデバイスでは、TCP/IPが使えない。 IoTデバイスの中には、車載エレクトロニクスのように、高度なリアルタイム性を要求するものがある。そのようなデバイスは、連携するいくつかのデバイスと周期的な通信をする必要があり、TCP/IPのようなパケットが大きく、複雑な処理が必要なプロトコルは邪魔になる。IoTのネットワークは、常に無線式のネットワークであるが、省電力性と両立させるためには、 Wi-Fiではなく、低速度で良いが低電力で遠隔と通信する無線ネットワークが使われる。  また、低能力の エンドポイントデバイスが、安全かつセキュアにインターネットと通信するには、よりセキュアに構成されたデバイスを ゲートウェイに用い、安全な通信だけを行うようにしたほうが良い。その他、さまざまな理由により、エンドポイントデバイスには TCP/IPを実装せず、より簡便なIoTネットワークをはさむ5層のアーキテクチャが採用されることが多い。もちろん、インターネットと直接に通信するIoTデバイスも存在する。 監視カメラなどがその代表だが、攻撃者にとっては、インターネットから直接アクセスが可能で、防御の弱いIoTデバイスは、格好の攻撃対象になる。(「IoTセキュリティ技術入門」より抜粋) 書籍紹介 IoTが広く社会に浸透した結果、セキュリティの問題が生まれた。現在発生しているサイバー攻撃のうち、半数以上はIoTデバイスを狙ったものであることから、その深刻さが伺える。本書では、製品、工場、自動車分野など様々に使われるIoTのセキュリティ技術について解説する。 書名:IoTセキュリティ技術入門 著者名:松井俊浩 判型:A5判 総頁数:184頁 税込み価格:2,200円 販売サイト

続きを読む

関連する記事はこちら

特集