Are Your Users’ IoT Purchases a Security Risk?

IoTデバイスのユーザーはセキュリティリスクも同時に購入している?

July 31, 2019
Aaron Jentzen

本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/are-your-users-iot-purchases-security-risk」の翻訳です。

情報セキュリティの専門家、消費者保護団体およびメディアは、モノのインターネット(IoT)デバイスの急増について警鐘を鳴らしています。これらのデバイスの多くには既知の脆弱性があり、ユーザーデータの保護対策もほとんど行われていません。

しかし、カーネギーメロン大学のCyLabによる最新の調査によると、個人がIoTデバイスを購入するとき、プライバシーとセキュリティは後まわしにされている可能性があります。この論文の著者の1人はWombat Security Technologies(現在はProofpoint Security Awareness Training)を共同設立したCyLabディレクターのLorrie Cranorです。

調査論文のタイトルは、「Exploring How Privacy and Security Factor into IoT Device Purchase Behavior(プライバシーとセキュリティ要因がIoTデバイス購入行動にどのように影響するかの調査)」です。この調査では、24機種のIoTデバイス購入者へのインタビューの結果を取り上げています。

IoT デバイス購入後の懸念

調査によると、デバイス購入者の約半数(技術系と非技術系の両方を含む)は「プライバシーとセキュリティに関して、限定的で多くの場合不正確な知識」しか持っていないことがわかりました。 論文執筆者によると、このような知識の欠如は、適切な判断を下す能力に影響を与えるということです。

「調査対象者のほとんどは、購入時にプライバシーとセキュリティについて考慮していませんでしたが、購入後にプライバシーとセキュリティについての懸念を持ちました。」と研究者のPardis Emami-Naeini氏は述べています。「これら購入後の懸念は、主に友人からの指摘、メディアの報道、または何らかの理由でうまく機能しないデバイスによって引き起こされました。」

情報セキュリティのプロがこの事態を心配すべき理由

これにより最も直接的な被害を受けるのは、危険なデバイスを購入した本人ですが、こういった購入行動は、情報セキュリティの専門家とその組織にとっても懸念を引き起こします。問題のひとつは、これら個人のIoTデバイスが通常の業務に使用されるデバイスとネットワークを共有する可能性が高いことです。

Proofpointの「2018 User Risk Report」では、6か国で働く6,000人の成人を対象に、ホームネットワークで使用されているデバイスの種類など、個人のサイバーセキュリティの習慣について調査しました。これらの家庭用Wi-Fiネットワークは、多くの場合完全に保護されていないことがわかりました。IoTの脆弱性については既に十分に文書化されていますが、それがさらに心配になります。ホームネットワークへのアクセスは簡単なため、攻撃者がリモートワーカーとその雇用者の機密情報を侵害するための入口となる可能性があります。

IoTセキュリティとプライバシーの意識を高める

CyLabの研究者であるEmami-Naeini氏は、次のように述べています。「安全なデバイスまたはプライベートデバイスを購入するかどうかは、コンシューマの判断にかかっています。この調査論文では、食品表示ラベルのような、IoTデバイス向けの標準的な表示ラベルのプロトタイプの開発を提案しています。このラベルは、IoTデバイスのプライバシーとセキュリティについて懸念を持つ購入前の消費者に情報を与えるのに役立ちます。」

しかし、IoTデバイスを購入する際に何が問題なのかを十分に理解していない人については、どうすれば良いでしょうか?

前述したように、インタビュー対象者の約半数は、限られた不正確な知識しか持ちあわせていませんでした。しかし、セキュリティ意識の高い層では21%が関連する知識を持ち、IoTデバイスの購入にあたってそれらの情報を活用しています。また、これらとは別に16%の購入者は、購入前と購入後の両方で、IoTデバイスのセキュリティに「関心がない」と答えました。調査によると、このグループは「収集されたデータが機密であると考えていない」か、「自分はプライバシーまたはセキュリティ関連の脅威から身を守ることができるという自己効力感を示して」います。

ProofpointIoTに関するQ&Aとセキュリティチェックリスト

セキュリティを気にしていないコンシューマに対しては、セキュリティ意識向上トレーニングとIoTセキュリティに関する情報が役立つでしょう。しかし、組織内の誰もがこれらのデバイスに関連するセキュリティ上の問題点を理解し、適切な注意を払う必要があります。

Proofpointでは、人々がIoTデバイスとIoTセキュリティを改善するためにとるべきステップをよりよく理解できるように、Q&Aとチェックリストを作成しました。このインフォグラフィックを同僚やエンドユーザーと共有して、IoTリスクを最小限に抑えることをお勧めします。