IoTデバイスはテレビ、冷蔵庫、エアコン、時計、自動車、フィットネス機器、医療機器、産業用機械、スマートインフラ（街灯・交通信号・配電設備など）まで多岐にわたります。アナログ機器のデジタル化・ネットワーク化が進み、データを収集・連携・制御する仕組みが社会・産業全体に浸透しています。

日本においても各種産業分野でIoTデバイスの導入が広がり、スマートホーム、スマートファクトリー、スマートシティなどの構築が加速しています。こうした利用拡大に伴い、デバイス・サービスのライフサイクル全体におけるセキュリティ対策の重要性が高まっています。

経済産業省およびIPA（独立行政法人情報処理推進機構）は、IoTデバイス・サービスの安全性確保のため、2025年にセキュリティ要件適合評価およびラベリング制度を開始し、セキュリティ水準向上に向けた取り組みを進めています^※1。

※1：セキュリティ要件適合評価およびラベリング制度（JC-STAR）

セキュリティを重要視するのは、幾つかの理由があります。 例えば、IoTデバイスは、ひとたび攻撃を受けると、機器単体にとどまらずネットワークを介して関連するIoTシステム、IoTサービス全体に影響を及ぼす可能性が出てきます。特に、自動車や医療機器に攻撃の影響が及んだ場合、利用者が生命の危機にさらされる場面も想定されます。
カメラなどを通じて、プライバシーが侵害される危険性もあります。

また、IoTデバイスには10年以上にわたって使用されるものも多く、システム構築・ネットワーク接続時に適用したセキュリティ対策が時間の経過とともに時代遅れとなり、セキュリティ対策が不十分になった機器がネットワークに接続され続けることになります。そしてそれらの多くのデバイスへのパッチ適用も困難です。

実際に、上記の懸念のとおり、IoTデバイスを狙った攻撃・ボット活動は増加しています。例えば、情報通信研究機構（NICT）が公表した「NICTER観測レポート2024」では、2024年に日本国内で1日当たり約730～11,500台が IoTボットに感染していることが確認され、平均すると1日当たり約 2,600台 が感染している状況と報告されています^※2。

特に有名な事例では、2016年10月、DNSサービスプロバイダ「Dyn」が、DDoS攻撃^※3を受けるという事件がありました。また、セキュリティ対策が不十分なIoTデバイスに感染した不正プログラム「Mirai」が、世界中で何十万台ものビデオレコーダーやネットワークカメラに感染。一斉に攻撃を始め、インターネットを支えるインフラストラクチャーの重要部分を機能停止させ、多くの大手サイトが利用不能となりました。

※2：NICTER観測レポート2024
※3：DDoS攻撃（Distributed Denial of Service Attack）は、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上で、攻撃目標であるサイトやサーバーに対して大量のデータを送り付けることで行われる攻撃

このような背景から、近年のIoTデバイスの開発においては、その危険性を把握した上で商品・サービスを考えることが必要になっています。
しかし、防御一辺倒の思考では不十分です。IoTデバイスには、さまざまな技術、アーキテクチャー、プロトコルがあり、攻撃手法も常に変化していることを考えると、最新の防御技術を知るだけではなく、侵入後の検知、対処、回復までの一連のプロセスを視野に入れたセキュリティ対策の実現が急務です。

今回のトレーニングでは、デモとハンズオンを通じて、いかにわれわれが攻撃を受ける側の常識が通じないか意識すると共に、セキュリティ担当者が企業の事業活動を守り抜くために、攻撃者の目線でIoTデバイスに対する攻撃を行うことで、セキュリティ向上について考えるきっかけ作りの場を提供いたします。

トレーニングが終わるころには、以下のようなことができるようになります。

トレーニングでは、IoTデバイスへのアプローチの考え方を重視しますので、コマンドが覚えられなくても焦る必要はありません。また、トレーニングで使用するキットはお持ち帰りいただけますので、トレーニング後も継続的に学習いただけます。

本トレーニングは、企業のセキュリティ担当者だけでなく、商品を販売し、サービスの運用に関わる方にとって有意義なものとなっています。時期は未定ですが、今後も継続的にトレーニングの実施を考えておりますので、ご興味がある方はお気軽にお問い合わせください。