IoT機器をどう守るか

 新年あけましておめでとうございます。昨年同様、本年も宜しくお願いいたします。

 前回の記事では医療情報学会に参加した記事を書きました。医療分野でもIoT化の波が押し寄せつつあるといったお話をしました。そこで、IoT機器を導入する際に、ネットワーク的に考慮しておきたいことについて少々書いてみます。

 IoTで多くの医療機器がネットワーク接続(≠インターネット接続)が行われるようになると、適切なアクセスコントロールが必要になります。特にIPv6を使っている場合は要注意です。IPv6にはプライベートIPアドレスという概念がありませんので、うっかり外部と通信出来てしまうというような事態も起こり得ます。

 IPv6はIPv4に比べてアドレス空間が広いので、多くの機器にIPアドレスを割り当てるという点に限定すればメリットは大きいのですが、IPv4とIPv6を併用する場合には少々面倒です。ネットワーク機器にIPv4/IPv6両方の設定が必要です。ルーティングやらNATなども個別に考えなければいけません。
 実際にどの程度の機器にIPアドレスを割り当てる必要があるのかにもよりますが、現時点ではIPv4限定で考えておいて良いかと思います。(大幅に増えそうな時点でIPv6を考慮したVLAN追加もアリでしょう)

 IoT機器自体は非力ですので、通信機能にリソースを割けません。そこで、ルータやファイアウォールの配下に設置します。基本的に外部から直接IoT機器にアクセスさせる必要はなく、IoT機器が収集したデータをサーバにアップロードして、そのデータを外部から参照するというような形が想定されます。

 要はIoT機器からサーバ方向のみの通信を許可してやればよいことになります。最近、IoT機器がDDoS攻撃の踏み台に利用されるというケースが多発しています。23/tcp(telnetポート)が開いていて、しかもパスワードがデフォルト値のままという管理の甘い機器が乗っ取られて悪用される事例が多いです。
 パスワードをデフォルトのままで使うのは好ましくありません。23/tcp(telnetポート)に関しては、IoT機器側で設定可能であれば塞いでおきます。合わせて、ルータやファイアウォール側で当該機器への23/tcp(telnetポート)などの使用しないポートを塞いでおき、必要なポートのみを許可するように設定しておきます。
 
 さらに、ルータやファイアウォールでDMZを設定し、DMZ上にサーバを設置して、IoT機器→サーバ、外部→サーバの通信のみ許可するように設定します。直接外部からIoT機器にアクセス出来ないようにしておくことはセキュリティ面的に重要です。

 IoT機器は手軽な分だけ安易に考えがちですが、ネットワーク全体で(IoT機器を)守る工夫が大事です。

  • このエントリーをはてなブックマークに追加

コメントをどうぞ