IoT セキュリティ対策ガイド！ JC-STAR制度とNAS運用から学ぶ実践ポイント

2025/07/14 セキュリティ対策

公開日 2025年7月14日｜最終更新日 2025年7月14日

「つながる」便利さの裏に潜む落とし穴

オフィスのプリンター、監視カメラ、ビデオ会議端末、空調、そしてNAS。
かつてスタンドアロンだった機器が次々とネットワークにぶら下がり、セキュリティの守備範囲は拡大しています。

総務省の「令和7年度情報通信白書」によれば、世界の IoT デバイスは2027年に580億台へ達する見込みです。

攻撃者にとっては「狙い目」が増えたともいえる状況です。セキュリティ管理の統制が難しくなり、情報システム部門は従来のPC／サーバー防御だけでは防波堤を築けなくなっています。

情報通信統計データベース｜総務省
https://www.soumu.go.jp/johotsusintokei/index.html

脅威動向

2016年に観測されたボットネット「Mirai」は、初期IDとパスワードのまま放置されたネットワークカメラや家庭用ルーターを乗っ取り、DDoS攻撃の踏み台にした。

「ランダムに検出したIPアドレスを感染先にする」という特徴が、組織規模や業種を問わない無差別攻撃を可能にしている。その亜種や後継として「EnemyBot」なども登場し、攻撃コードはオープンソース化。ゼロデイ脆弱性が実装された派生版が短サイクルで出回る状況だ。

実際、DVR/NVR、UPS、医療機器、コネクテッドカーなど多様な機器で脆弱性が報告され、
「更新パッチが間に合わなければ重大事故につながった」との事例もあります。

つまりセキュリティの守備範囲は“インターネットに出るIPアドレスを持つすべてのモノ”にまで広がっています。

今日からできる運用ルール（基本４原則）

(1) ID／パスワード管理
「初期設定をそのまま使わない」「推測されやすい語を避ける」「長さ＋複雑さ」「他サービスとの使い回し禁止」パスワード管理ツールの導入検討は必須です。

(2) ファームウェア＆ソフトウェア更新
取扱説明書は“最初に捨てられる紙”の代表格ですが、アップデート手順が書かれています。メーカーの保守期限と更新ポリシーを台帳化し、EoL（End of Life）が近い機器は計画的にリプレースしましょう。

(3) 未使用機器のネットワーク分離／電源断
使わないなら切る──シンプルだが効果は大きいです。特に会議室に置きっぱなしの旧型Webカメラや、実験用に一時的に接続したルーターは“見えない穴”になりやすいです。

(4) 廃棄時データ消去
IoT機器でも「電話番号」「メールアドレス」など個人情報を保持しています。廃棄・売却前に初期化ツールでオーバーライトし、ラベルに「消去日」「担当者」を記録するところまでを手順書に含めましょう。

製品選定の新常識　JC-STAR制度を読み解く

2025年3月、情報処理推進機構（IPA）が「JC-STAR」登録受付を開始しました。
★1〜★4の4段階で、★1は最低限のマルウェア耐性・アップデート提供・廃棄時データ削除機能などを満たす必要がある。
★3以上は第三者機関が評価するため、公共・重要インフラ案件では実質的な調達要件になるでしょう。

ただし、★付き製品でも設定ミスや運用放置は想定外です。したがって調達プロセスでは、

・ラベルの有無とレベル
・メーカーのPSIRT体制と脆弱性対応SLA
・自動アップデート機構の有無

をセットで評価し、購買稟議書に記録しておくと説明責任を果たしやすくなります。

NASで考える多層防御

ファイル共有の定番NASは、典型的な“社内IoT”。
ストレージとはいえOS・WebUI・各種サービスが動作するミニサーバーです。

・バックアップ戦略
オンサイトRAIDだけでは不十分です。
「3つのバックアップコピーを作成する」「2種類の異なるストレージメディアにバックアップを保存する」「1つのバックアップコピーはオフサイトに保存する」“3-2-1ルール”が基本です。
ランサムウェア流行以降、ネットワークから切り離したコピーが再評価されています。

・RAIDと可用性
RAID5/6で冗長化しても「二台同時故障」「コントローラ障害」は免れません。RAIDはあくまで可用性向上策であり、バックアップの代替ではありません。

・ベンダー選定
アップデート頻度、過去の脆弱性公開状況、対応時間を調べる。できればPSIRTのWebページを定期巡回し、RSSなどでアラートを受け取る仕組みを作る。

・監視とログ
Syslog出力やSNMP対応を使い、SIEMに連携させる。大規模環境ならSOCが把握しやすい形式へ正規化しておくとインシデント対応が加速する。

チェックリスト：情報システム担当者が明日から実践

☐ 全 IoT 機器を資産台帳に登録し、担当部署・IP アドレス・設置場所・保守期限を追記した
└ 頻度：初回棚卸後、増設時に随時
☐ 全機器の初期 ID／パスワードを変更し、パスワードマネージャで集中管理した
└ 頻度：導入時・人事異動時
☐ ファームウェア／ソフトウェアの更新を四半期ごとに確認し、最新状態を維持している
└ 頻度：3 か月ごと（4・7・10・1 月）
☐ ベンダーの EoL 情報を追跡し、サポート切れ機器のリプレース計画を策定した
└ 頻度：半期ごと
☐ “孤児デバイス”検出用ネットワークスキャンを月次で自動実行している
└ 頻度：毎月第一営業日　／　担当：ネットワークチーム
☐ 未使用機器は物理的にネットワーク切断・電源断し、放置を防いでいる
└ 頻度：随時
☐ IoT 用 VLAN／セグメントを分離し、業務ネットワークと論理隔離している
└ 頻度：構成変更時
☐ 外部公開が必要な機器に WAF・IP 制限など多層アクセス制御を実装した
└ 頻度：導入時／設定変更時
☐ 主要 IoT 機器（NAS 等）は “3-2-1 ルール”でバックアップを取得している
└ 頻度：日次バックアップ／月次リストアテスト
☐ RAID 冗長とバックアップの役割を分離し、二系統でデータ保全を担保している
└ 頻度：設計時／障害レビュー時
☐ Syslog／SNMP などのログを SIEM へ集約し、異常検知ルールを設定している
└ 頻度：リアルタイム監視＋月次ルール見直し
☐ 各ベンダーの PSIRT 情報を RSS 等で購読し、重大パッチを 48 時間以内に適用する SLA を運用している
└ 頻度：常時監視／適用タイミングは随時
☐ 新規調達時は JC-STAR ラベルのレベルと第三者評価有無を確認し、購買稟議に添付している
└ 頻度：調達ごと
☐ IoT リスク評価を年 1 回実施し、結果を経営層へレポーティングしている
└ 頻度：毎年 4 月
☐ 廃棄・転売時にデータを完全消去し、証跡（ログ／証明書）を保管している
└ 頻度：廃棄時

情報セキュリティ対策のご相談は株式会社ハイパーのセキュリティア推進部まで！

https://www.securitier.jp/security/ciso/cisocs/

まとめ

境界防御が通用しない現代、IoT機器は“常に攻撃者の手の届く場所”にさらされている。だからこそ、
・製品選定で「JC-STAR＋ベンダー透明性」をチェックする
・運用で「基本４原則」を徹底する
・廃棄まで含めたライフサイクル管理を仕組み化する
この３階層で多層防御を築くことが、情報システム担当者に課せられた新しいスタンダードだ。

まずは棚卸しとパスワードリセットから始めましょう。