IoTは、シャドーIT化しやすいので特に注意が必要！！

１．IoTの目的

中小企業の工場内にIoTを利用して情報の可視化を検討したいけれども、どのようにすれば良いのかわからないということを伺います。

具体的な設計よりも、いろいろなところにセンサーを設置して、可視化をするというような内容ですが、そもそも得られた情報から何をしたいのかが曖昧な場合もよくあります。

特にこのような進め方の場合では、IoTの導入を検討する際に課題となるものに、導入したあとの成果や、はっきりした効果が分からない場合が多いことです。
また実施をする場合には、テスト導入やＰＯＣのような実証実験となる場合が多いのですが、テストや実証実験であるがゆえに、充分な費用をかけずにまずは効果検証をすることになります。

工場の中ですと、装置の設置や撤去なども、外部と比べると容易にできるため、簡易に実施することができます。
天候条件の影響も少なく電源の確保も比較的楽に実施できますので、一般的なIoTの条件からすると、ハードルは低くなります。

仮にトライアルでセンサーと機器を設置して、うまく動作ができなかった場合でも、とりあえず、設置したままで原因調査などをゆっくり行うことも可能です。

２．シャドーITのリスク

しかし、トライアルとはいえ、センサーと情報を収集してサーバーに送る機能を備えた機器で構成されていますので、原因調査に時間を要しますと、簡易に接続したネットワーク機器が自社内のネットワークに接続されたままになります。
テストや実験の場合にはセキュリティの意識も低いことから、IDやパスワードもデフォルトのまま設置される場合もあります。

IoTのネットワークは社内ネットワークに直に接続する場合と、WifiやBluetoothなどの無線機器意を経由する場合がありますが、一時的に設置される機器は管理も報告されないことがありシャドーIT状態となりかねません。

以前、情報セキュリティの事故で、IoTの事例として、コピーで利用する複合機があげられていました。
複合機がなぜIoTなのかとも思いましたが、いまご紹介しました簡易に接続されて、管理も報告もされないまま利用され続けるIoT機器の事例と非常によく似ています。

３．思わぬシャドーIT

複合機はFAXやスキャナーの機能も持っていますし、保守会社がメンテナンスのために複写機のカウンター数を把握したりするための通信機能も持っていますが、コピーのイメージが強いがために、ネットワーク機器ということが認識されにくくなります。

そのため、セキュリティの対象から外されたりしますと、IDやパスワード管理もなくデフォルトで運用されてしまいます。
このような理由から外部からの侵入に対し、容易に管理者権限が取られてしまい、複合機に保存されていたデータが抜き取れててしまうという事故が発生しています。

同じような例として、社内に置かれたDVDレコーダーやハードディスクレコーダーも同じような被害にあっています。
こちらも、DVDレコーダーやハードディスクレコーダーがDVDの映像を閲覧するためや、画像を保存するためという機能のイメージが強く、映像の配信や移動など自らがネットワークを利用することが可能であることの認識がないために、セキュリティがおろそかになりました。

４．シャドーITの防止

IoTでも同じように、センサーで何を測定するかに焦点が当たり、データを収集するネットワーク機器が小さなパソコンと同等な機能を持っているという認識は低くなりやすいので、同様のリスクが内在してしまいます。

IoTは手軽に実験ができるようになっていますが、シャドーIT化とならないように、実験が完了した場合や、正常に動作をしなかった場合でもネットワークから切り離すなどの、セキュリティ対策に留意してください。
また、複合機やDVDレコーダーと同様にIDとパスワードはデフォルトのものを使わないように変更することも徹底が必要です。

簡易な機器に負荷のかかるセキュリティ対策は困難ですので、簡単で分かりやすい方法を徹底してはどうでしょうか。

最後までお読み頂きましてありがとうございます。今回のコラムが皆様の何かのヒントになれば幸いです。

コラム更新のお知らせをお届けします。ぜひご登録ください。