久しぶりにコメント欄を復活します。スパムが多いため判別しています。(60日前迄と今後の新規記事は可能)
24時間で読まれたベスト5

Iotデバイスにもセキュリティ対策が重要な時代—あなたのRaspberry Piは大丈夫?

iot-security-title特集記事
【スポンサード:トレンドマイクロ株式会社】

最近、当サイト設置のラズパイダフォーラムや、知人から「Raspberry Pi でウェブサーバーを公開する方法を知りたい」と相談されました。

ウェブサーバーの公開はRaspberry Pi でも問題無く可能です。ただ、初心者にはサーバーの構築よりもルーターのポート開放やルーティングを知りたいでしょう。

現在は簡単にウェブサーバーを公開できるようになりました。その反面、サーバーの公開には本当に気を付けてもらいたいと思っています。

先の記事「身近な場所で見つかるRaspberry Pi、セキュリティリスクについて考えてみた」の中で具体的な事例をご紹介したように、ちまたにはIotデバイスが溢れています。皆さんの身近なアレもコレもRaspberry Pi で構築されていて、インターネットに繋がっているかも知れませんよ。

セキュリティリスクについては、Raspberry Piで構築したウェブサーバーの公開に留まらず、Iotデバイス全体に言えることだと思います。

そもそもWebサーバーを公開したいのはなぜ?

Raspberry Piを使ってWebサーバーを公開したいというのは、費用を抑えてブログやサイトを作成して公開したいということでしょうか。

もちろん、技術的に興味があり、個人でもWebサーバーを公開してみたいという単純な動機の方も多いと思います。

先ず、ここで言うリスクを冒してもWebサーバーを公開したい理由を想像してみました。

誰かとデータを交換したい?

サーバーを有料で借りても、ファイルサイズの問題や保存容量の問題であまり自由に出来ないとお考えなのでしょうか。

その点、自分でサーバーを構築し公開すれば、HDDの容量次第ということなんだと思います。確かに自由っていいですよね。

パイレッド
パイレッド

外出先でのダウンロードは、自宅サーバー側ではアップロードになります。データの取得などは遅くなりますから、あまり大きなファイルサイズは困難です。

限定的に公開したい?

知人にだけURLを教えて、パスワードで閲覧制限し、小さなコミュニティで運営したい?
または、監視したデータをクラウドや他のシステムに飛ばしたい?

パイレッド
パイレッド

限定的な公開でも世界にサーバーが公開されていることに違いはありません。やはりセキュリティのリスクは高まります。

ID&パスワードではない鍵認証方式(pemキー)、暗号化通信(VPN)などは必須だと思います。現在は2段階認証も有効です。
それに加えてファイアウォールの運用は必要でしょう。

リスクを知ろう!

セキュリティについて偉そうなことは何も言える立場ではありませんが、現代においてWebサーバーを公開するのは、かなりリスキーなことです。

Iotデバイスもリスクに晒されている

rpi4bserver
Raspberry Pi 4Bと簡易サーバー

Raspberry Pi のようなIotデバイスは安価なので特に利用数が多くなってきています。

世界中のIoTデバイスは累計400億台を超える(情報通信白書平成30年度版)

引用元:Raspberry Piから侵入 ~NASAの事例から学ぶIoT時代のセキュリティ~

これらIotデバイスはインターネットに繋がることで意味があるデバイスです。

Iotは、”Internet Of Things”の略です。(モノのインターネット)
これまでは人が操作してインターネットに繋げることが前提でした。パソコンやサーバーといった分かり易い端末です。

しかし、現在はデバイス自身が常に電源が入っている状態、インターネットに繋がって機能する単独機能のデバイスが皆さんの身近にも増えています。

当然ながら利用者が増えれば、良からぬ事を考える人も増えます。サイバー攻撃の対象がパソコンやサーバーだけではなくなっています。よりセキュリティが甘いIotデバイスが狙われています。台数が多い分、リスクは過去よりも増してきていると思います。

インターネットに繋がっている危険性

前回の記事で触れたように、米NASAでさえアタックされています。CIAやペンタゴンといった機関も例外ではありません。どことはなかなか断定できませんが、毎日のように国家の意思でサイバー攻撃している国もあります。

今回の新型コロナウィルスの最中さなかも中国と米国でサイバー攻撃がニュースになっています。

これも直接的な攻撃であれば、我々市民はあまり関係ないと言えます。しかし、直接攻撃を仕掛けることは逆にあまり有り得ません。いくつも中継ポイントを作り攻撃するでしょう。その中継ポイントにセキュリティの甘いデバイスやPCが狙われることがあります。

自社サーバーなど、仕事でしか使わない限定的な公開と思っていても、世界にも公開されていることには変わりません。

例え自宅サーバーでもインターネットに公開している時点でリスクは共通になります。

\ Raspberry Pi 4はメモリー8GBが最新 /

【国内正規代理店品】Raspberry Pi4 ModelB 8GB ラズベリーパイ4 技適対応品【RS・OKdo版】

→すぐに始められるセット品が便利

Raspberry Pi 4 アーマード (メモリー8GBモデル)セット
NewLife NewDesing
【セット概要】Raspberry Pi 4 Model Bに、アルミニウム製のファン付きヒートシンクケースを組み合わせて、高い冷却性能により長時間の安定稼働が可能です。当社内での相性テスト、負荷テストをクリアした高品質な部品で構成されており、単品でご購入いただくよりお得です。

セキュリティ対策はどうする?

rpi4-setup
デフォルトパスワードの変更

個人利用でも基本的なセキュリティ対策として、パスワードの変更があります。つまり、デバイスに設定されているデフォルトのユーザー名やパスワードでそのまま運用しないということが挙げられます。

デフォルトのユーザー名とパスワードは変更する

なんだそれだけか、と思うかも知れません。でも、それだけで容易には侵入できなくなります。手間が掛かればそれだけで避けられることがあります。空き巣被害と一緒です。

Raspberry Pi に限っていうと、世界中で誰でも知っているRaspbianのデフォルトユーザーはpi、そしてパスワードはraspberryです。

何も講じていない場合は、誰でもIDとパスワードは知っているというワケです。

(現在のRaspbian「=Raspberry Pi OS」はパスワードを変更するようにウィザードで指示されます)

ご存じのようにpiでログインすれば、最初からsudoの権限が付与されており、パスワードなしでrootと同等のことが可能になります。管理者としてなんでもできてしまいます。

豆知識

Raspbianのユーザー「root」はユーザーpiと異なり、最初はパスワードは何も設定されていません。
逆に言えばデフォルト状態では直接rootになることができません。パスワードが設定されていないためです。rootでのログインするには先ず、rootのパスワード設定からしなくてはなりません。結果的にrootは放置していた方がかえって安全です。
ただし、sudoができるpiが奪取されればrootと同等なので大変危険ですから、デフォルトユーザーに留まらず、使用するユーザーの管理、運用方法は必ずと言って良い程対応しないとなりません。

企業に多い情報漏洩のニュース

時折、企業の顧客データやクレジットカードデータが漏洩したニュースが飛び込んできます。内部犯行の場合はまた話は別になりますが、外からの攻撃によって気が付いたらデータベースにアクセスされていた。このような事例が多くなりました。

もちろん、セキュリティ対策はしていた。甘かったのか手落ちがあったのでしょう。お粗末なセキュリティ状態だったケースも報道により露呈しています。

企業では、必ず顧客データや取引先のデータを所有しています。自社のデータも含め、漏れてしまっては会社の信頼が失墜します。イチ部門の小さなシステムでも、仮にIotデバイスの導入でも、そこが弱い部分になり兼ねないため個人よりも注意が必要です。

セキュリティ対策ソフト

では、具体的にセキュリティ対策はどうやって構築したら良いのでしょう。

認証方式の変更の他に、セキュリティソフトやファイアウォール機能などを使う手があります。

  • ユーザーとパスワードの変更
  • ファイアウォールの構築
  • セキュリティ対策ソフトの導入

いや、どれも必要ですね。

現在のRaspberry Pi などのLinux系では、海外製で有名なアンチウイルスソフトとして「Clam AntiVirus(ClamAV)」があります。ファイアウォールはFirewalldが有名です。
古くはiptablesぐらいだったでしょうか。

このファイアウォールは主に難点が2つあります。
設定がとても難しい点と、メンテナンスも自分で行う点です。

  1. 設定が複雑
  2. メンテナンスを怠ることができない

仮にあなたがエンジニア、特にネットワークエンジニアだったり、セキュリティスペシャリストであれば、私は何も言えません。設定もこなせますし、バグのパッチ充てなどのメンテナンスもできるでしょう。

しかし、そもそもraspbianで動いているサービスや使われているライブラリは、Raspberry Pi などのシングルボードコンピュータでは、基本がオープンソースなので、それなりに多くの技術や情報を熟知していないとなりません。
少なくてもすべてのバージョンアップには対応しないとなりません。

何でも完璧はありません。プログラムの不具合といったバグも無くなりません。そういう意味でも管理はかなり煩雑になることは確実です。

そもそも、そこまでの知識や技術を持った社員を雇えない企業も多いでしょう。それに、利益を産まないセキュリティに対し、多くの手間と時間を割けない事情があるかも知れません。

そのため、仮に自前でファイアウォールは設置できたとしても、その運用となると話は別になります。

できれば、Raspberry Pi にも一般的なパソコンにインストールするようなセキュリティソフトがあれば、エンジニアではなくても無防備になることはないので助かるのですが・・・。

Iotデバイスにセキュリティ対策ソフトは?

2020年現在、公式のRaspberry Pi 財団からはセキュリティについては新しいアナウンスはありません。以前はデフォルトユーザーpiのデフォルトパスワードも特に変更せずとも使えましたし、システム上で変更を促されることはありませんでした。

スポンサーリンク

その後、ご存じのように現在の公式OS「Raspberry Pi OS」では初期設定ウィザードの段階でパスワードの変更を促されます。

しかし、GUIがない「Raspbian Lite」では、これまで通りテキストメッセージで変更するように促されるだけで、特に対応しなくても済んでいます。

できればパッケージになっているセキュリティソフトがあると便利です。しかし、Raspberry Pi OSと限定すると、少し難しいですね。

Iot向けのセキュリティ対策製品

ウイルスバスターなどのセキュリティソフトで有名なトレンドマイクロからIot向けのセキュリティ対策製品がリリースされていました!

法人用とあるので、業務でシステムを扱うエンジニアさんには朗報ですね。

しかも、Raspberry Pi向けセキュリティ対策製品となっています。Raspbian対応と記載がありますね。(※現在、公式RaspbianはRaspberry Pi OSと名称が変更になっています)

Trend Micro Iot Security ダウンロードページ

これは90日間は利用できる体験版です。期限内ならば制限無くフル機能で試用可能です。

それにしても、Raspberry Pi 専用というのは驚きました。もしかしたら、他にこういった製品はRaspberry Pi 用にはまだ無いのではないでしょうか?

個人ユースでもインストール&試用は可能です。私も試しにインストールしてみました。その模様はまた次回にご紹介します。

私がダウンロードした時は、バージョン2.1.503でした。

Trend Micro IoT Security

この製品はなぜRaspberry Pi 向けなんだろうかと思いました。それは製品のページを読むと理解することができます。

そもそも、セキュリティ対策の機能がパッケージされている「Trend Micro IoT Security」は組み込み機器向けです。つまり、自社製品や自社システムに組み込む前提のソフトです。

引用:トレンドマイクロ株式会社

組み込むデバイスのOSにLinuxが使われているケースが多いので、事前に検証したい場合、同じLinuxOSのRaspberry Pi で環境構築して試せるということになります。

Iotデバイスの中でも汎用機であるRaspberry Pi ならではの活用法ですね。

想定したシステム環境をRaspberry Pi で構築して試用できる

引用:トレンドマイクロ株式会社

体験版と言ってもフルに機能が使えて90日あれば充分にテストは可能だと思います。

また、自社で開発した仕組みをそのままRaspberry Pi で構築する予定であれば、試用から実際の運用へシームレスに移行できます。今後は安価なRaspberry Piで自社システムを構築することも視野に入れられます。

残念ながら個人ユース向けの商品ではありませんが、もしも会社の業務利用で興味があれば、Raspberry Pi を使って試してみることをオススメします。

もちろん、私のように単に試したい人でも無償で体験版はダウンロード可能です。

Trend Micro IoT Security

サイバー攻撃、踏み台、ハッキング、情報漏洩に限らず、業務がストップしてしまえば企業活動に大きな損害が出ます。

ビジネスでRaspberry Pi やIot機器デバイスを運用したい場合、セキュリティ対策やその運用設計を考慮することを忘れないでいただきたいと利用ユーザーとして思いました。

次回、インストールしてみた様子をご紹介します。

【提供:トレンドマイクロ株式会社】

タイトルとURLをコピーしました