最初にやるべきは「現場制約を前提にした脅威モデル化」

IoTの議論が空回りする典型は、ITの常識で「パッチを当てればよい」「EDRを入れればよい」と結論づけてしまうことです。現場IoTは、停止できない、遠隔地に散らばる、保守ベンダーが触る、ネットワークも専用回線や閉域網が混ざるなど、前提が違います。まず情シス／CSIRTがやるべきは、導入目的と業務影響度を踏まえ、どの脅威が最も事業に効くかを言語化することです。

例えば、外部からの直接侵入が現実的なのか、社内侵害後の横展開が怖いのか、保守経路が最大のリスクなのか、あるいはクラウド連携の設定ミスが本命なのかで、優先すべき対策は変わります。脅威モデルは分厚い資料である必要はなく、CSIRTが判断に使える程度に「入口」「横展開」「目的」「検知点」「遮断点」を揃えることが大切です。

可視化は台帳だけでは足りない：実通信に基づく資産把握へ

IoT運用が破綻する最大要因は、資産が把握できないまま台数が増えることです。台帳は必要ですが、申請ベースの台帳だけだと、現場の追加設置や交換、臨時接続で簡単に崩れます。情シス／CSIRT寄りに設計するなら、台帳と実態の差分を検知できる仕掛けが必要です。具体的には、ネットワーク側で観測したMACやIP、通信先、プロトコルを起点に「知らない機器が出た」「普段と違う通信を始めた」を拾い、台帳更新へ戻す循環を作ります。

台帳の項目設計も、単に機種名と設置場所では不十分です。ファームウェア版数、サポート期限、管理責任者、保守事業者、管理経路、所属セグメント、通信先のクラウドやサーバ、証明書の有効期限といった、CSIRTが有事に必要とする情報を最初から含めます。ここを削ると、重大脆弱性が出た瞬間に影響範囲の特定で詰みます。

ネットワーク設計は「例外を増やさない」が運用性を決める

IoTのネットワーク分離は、やるだけなら簡単ですが、運用が続く形にするのが難しいです。例外通信が積み上がるほど、分離は名目だけになり、トラブル時に「どれを止めてよいか」が分からなくなります。情シス／CSIRTが主導するなら、分離の目的を「横展開を抑える」「監視を集約する」「管理経路を固定する」に置き、例外は期限付きの例外として扱います。

遠隔保守は特に事故が起きやすい領域です。保守のために常時開けた穴を作ると、そこが最短の侵入口になります。理想は、保守アクセスを必ず特定の中継点に集約し、強固な認証と記録を通し、作業は必要な時間だけ有効化する運用に寄せることです。現場の負荷を増やし過ぎないよう、仕組み側で手順を簡略化しつつ、CSIRTが追跡できる証跡を確保します。

デバイスIDと鍵管理ができないIoTは、いつか必ず破綻する

IoTの認証が「共通ID・共通パスワード」や「現場が知っている固定パスワード」に依存していると、侵害時の封じ込めがほぼ不可能になります。情シス／CSIRT視点では、個体を識別できること、アクセス主体を追跡できること、侵害時に失効できることが重要です。そのために、可能な範囲で証明書を使った相互認証や、個体ごとの資格情報を採用し、鍵の発行、更新、失効を運用として回します。

鍵管理は難しそうに見えますが、実は「鍵が更新できない」ことが最大のリスクです。証明書の期限切れで大量停止が起こるのも典型的な事故です。台帳に証明書の有効期限を持たせ、更新手順を標準化し、更新できない機器は導入しない、あるいはゲートウェイで吸収するなど、設計段階で手当てします。ここを曖昧にしたまま台数を増やすと、ある日突然、更新不能な資産が山になって詰みます。

ログが弱い前提で、CSIRTが追える「最低限の証跡」を定義する

IoTは端末ログが貧弱なケースが多いので、何をもって「調査可能」とみなすかを最初に決めます。CSIRTが最低限ほしいのは、管理アクセスの主体と時刻、設定変更の痕跡、通信先の変化、異常なトラフィックの兆候です。端末側で取れないなら、ゲートウェイや管理サーバ、踏み台、クラウド監査ログ、ネットワーク観測で代替します。

このとき大事なのは、ログを集めること自体が目的化しないことです。IoTログはノイズが多く、解析に時間がかかります。台帳と紐づく識別子を揃え、現場の変更作業と突合できるようにし、アラートは「重大インシデントの入口になり得る事象」に寄せて設計します。CSIRTが疲弊すると運用は続きません。回る粒度に落とすことが、最終的に安全性を上げます。

パッチが当てられない現実を織り込む：EOLと例外管理を運用で握る

IoTの更新が遅れるのは、担当の怠慢というより構造問題です。だから情シス／CSIRTは、更新できない資産を責めるのではなく、更新できない期間のリスクをどう管理するかを制度として作ります。重大脆弱性が出たとき、影響範囲を特定し、業務影響を見積もり、更新が可能ならいつまでにやるか、更新が不可能ならどの緩和策を適用し、いつまでに置換するかを決める。これを例外管理として記録し、期限と責任者を明確にします。

EOLは特に重要です。サポート切れの機器が増えるほど、既知脆弱性の温床になります。台帳でサポート期限を管理し、更新計画を調達計画と連動させ、年度予算に乗るように早めに可視化します。CSIRTがEOLを握れない組織は、有事に「危ないけど止められない資産」を抱え込み続けることになります。

インシデント対応は「遮断のプレイブック」と「現場手順」を一体化する

IoTインシデントで揉めるのは、遮断の判断が遅れるか、遮断して現場が止まるかのどちらかです。だから平時に、どの兆候が出たらどの範囲を止めるのか、代替運用はあるのか、復旧手順は何かを、現場と一緒に決めておきます。CSIRTのプレイブックだけが立派でも、現場が動けなければ機能しません。逆に現場の手順だけがあっても、全体の封じ込めができません。

封じ込めの粒度は可能な限り細かくします。拠点全体の遮断ではなく、IoTセグメント、さらに管理経路、必要なら特定機器の通信制御へ落とし、事業影響を最小化します。調査は端末フォレンジックに頼れない前提で、ネットワーク観測、踏み台ログ、クラウド監査ログ、保守作業記録の突合で因果を組み立てます。復旧では、認証情報の再発行、保守アカウントの棚卸し、同型機器の設定標準化など、再発防止を同時に実行できるようにします。

PoCから全社展開まで、セキュリティを「後付けしない」進め方

IoT導入はPoCが成功すると一気に拠点展開に進みます。ここでセキュリティが後付けだと、台数が増えた時点で統制不能になります。情シス／CSIRT寄りに進めるなら、PoCの段階で最低限の標準を決め、標準に乗らないものは例外扱いとして理由と期限を持たせます。具体的には、管理経路、認証方式、台帳項目、ログの最低要件、ネットワーク分離の原則、遠隔保守の取り扱いを、PoCから同じ型で動かします。

全社展開で効いてくるのは、標準を守らせる統制よりも、標準に乗るほうが楽だという体験設計です。申請が簡単で、導入が早く、保守もやりやすい。そのうえでCSIRTが追える証跡が残る。この状態を作れれば、セキュリティはブレーキではなく、スケールのための土台になります。IoTが当たり前になった企業ほど、情シス／CSIRTの価値は「止める判断」ではなく「止めずに守る設計」に現れます。