IoTセキュリティとは？企業が知るべきリスクと具体的な対策を解説

IoTセキュリティとは、IoT機器だけでなく通信・クラウド・運用までを含めて守るセキュリティ対策です。IoT（Internet of Things：モノのインターネット）機器の普及に伴い、サイバー攻撃の標的となるリスクが高まっています。

本記事では、機器の乗っ取りや情報漏えい、DDoS攻撃などの被害事例をもとにIoT特有のリスクを整理し、デバイス・ネットワーク・クラウド・運用の各領域で企業が取り組める具体的な対策と導入手順を解説します。

IoTセキュリティとは何か

総務省・経済産業省が策定した「IoTセキュリティガイドライン」^※1においても、IoT機器がネットワークを介して相互に接続されることで、セキュリティ上のリスクが広範囲に波及する点が指摘されています。

家庭用機器から産業機器まで、これまでネットワークに接続していなかった機器が通信機能を持ち、ネットワークに接続することで利便性は高まる一方、サイバー攻撃により侵入されるリスクもあります。システム障害や乗っ取り、情報漏えいなどにつながるため、IoTの活用とセキュリティは導入当初からセットで考えるべきです。

なぜ今、対策が重要視されるのか

総務省「情報通信白書」^※2によれば、世界のIoTデバイス数は年々増加を続けており、家電、産業機器、医療機器など幅広い分野で普及が進んでいます。IoTが増えるほど、攻撃者にとって狙える入口も増加します。家庭用の見守り機器やカメラのような身近な製品から、企業設備に設置されるセンサーまで、インターネットにつながる機器が広がることで、1台の弱点がシステム全体の弱点になりかねません。

IoT機器の増加に伴って、サイバー攻撃のリスクも高まっています。国立研究開発法人情報通信研究機構（NICT）の2025年の観測^※3によれば、サイバー攻撃関連の通信数は過去最多を記録しました。特に、特定のサービスを狙う攻撃だけでなく、広範囲のポートを無差別に探索するスキャンが増加しており、あらゆるIoT機器が常に狙われている状態にあります。

IoTは現場の機器、社内ネットワーク、クラウドまでが連携して動作する仕組みであるため、どこか1か所でも守りが弱いと侵入され、データの窃取や機器の停止につながるおそれがあります。

IoTのセキュリティ対策が後回しになりやすいのは、「見える化」や「自動化」といった導入効果が先に評価されやすく、セキュリティ対策の必要性が導入段階で十分に意識されにくいためです。しかし、ひとたび攻撃を受けると、機器の交換や設定のやり直し、原因調査、取引先への説明などが必要となり、時間も費用も大きく膨らみます。さらに、社会的責任を果たすための対応も求められます。

PCやサーバとのセキュリティの違い

IoT機器には、PCやサーバと同じ従来のセキュリティ対策では不十分です。

理由の1つは、機器の性能や構成が異なるためです。小型のセンサーや家電は、処理性能やメモリ容量に余裕がなく、負荷の大きい防御機能を実装しにくい場合があります。加えて、画面やキーボードを備えていない機器も多く、利用者が細かな設定を行いにくい場合もあります。また、PCであればウイルス対策ソフトの導入やOS設定の変更を利用者自身が行えますが、IoT機器では同様のセキュリティ対策が難しいケースも少なくありません。

もう1つは、管理の難しさです。PCであれば、どの機器がどこで使われているかを把握し、更新プログラムの適用やウイルス対策ソフトの導入といった運用の流れを整えやすい一方、IoTは現場に点在し、メーカーや機種もさまざまであるため、更新方法を統一しにくいという課題があります。総務省・経済産業省の「IoTセキュリティガイドライン」^※1でも、IoT機器は「機能・性能が限られる」「管理が行き届きにくい」といった特性を踏まえた対策の必要性が示されています。

さらに、IoTは「機器だけ守れば良い」わけではありません。機器が送るデータの受け取り先がクラウドであれば、クラウド側の設定ミスも事故につながります。中継機器やネットワークの設定が弱ければ、通信を盗み見られたり書き換えられたりします。つまり、IoTはPCやサーバと比べて、守るべき対象が機器・通信・クラウドと多岐にわたる点が大きな違いです。

IoT機器に潜む特有のセキュリティリスク

IoT機器が攻撃されると、被害は情報だけにとどまりません。IoTは現実の機器や設備とつながっているため、停止や誤作動、不正な操作といった形で、現場の安全や業務に直接影響を及ぼします。さらに、侵入された機器が別の攻撃に悪用されると、自社が被害者であると同時に、他者への攻撃に加担してしまうおそれもあります。

ここでは、IoTで起きやすい代表的なリスクを3つに整理して見ていきます。

機器の乗っ取りとDDoS攻撃への悪用

IoT機器が乗っ取られると、攻撃者はその機器を遠隔で操作できるようになります。乗っ取られた機器が大量に集まると「ボットネット」と呼ばれる集団となり、DDoS攻撃に悪用されます。DDoS攻撃とは、多数の攻撃元からネットワークやサーバに大量のアクセスやデータを送りつけ、標的のサービスを利用しにくくしたり、停止させたりする攻撃です。正常なアクセスと見分けにくく、攻撃元も分散しているため、対策が難しいという特徴があります。

企業にとっての負担は、売上の機会損失だけではありません。予約サイトや決済が停止すれば取引に支障が生じ、問い合わせが増えれば窓口も混乱します。さらに、自社のIoT機器がボットネットに組み込まれると、取引先や社会に影響を及ぼすおそれがあり、原因の調査や対外的な説明が必要になる場合があります。

IoTは機器の台数が多いため、たった1台のセキュリティの甘さが、数百・数千台規模の攻撃の起点になりかねません。導入段階からパスワード管理やファームウェア更新を徹底することが重要です。

機密情報やプライバシー情報の漏えい

IoT機器は、映像、音、位置、稼働状況など、生活や業務の実態が把握できるデータを集めます。ネットワークカメラであれば映像そのものがプライバシー情報となり、工場のセンサーであれば生産量や稼働率といった機密情報になり得ます。こうした情報が漏えいすると、個人の安全や企業の競争力に直接影響します。

情報漏えいの経路は、インターネット経由の攻撃だけではありません。IoT機器は店舗や公共スペースなど、人の手が届く場所に設置されることが多く、機器そのものへの物理的な接触リスクも考慮する必要があります。

現場に置かれる機器ほど、盗難や持ち出し、点検を装った接触が起きやすいためです。総務省・経済産業省の「IoTセキュリティガイドライン」^※1では、IoT機器が収集するデータを保護するためには、設計段階から対策を講じることの重要性が示されています。データの保存先やアクセス権限、初期設定のまま運用されていないかを、定期的に確認できる体制を整えておくことが重要です。

物理的なシステムへの不正な操作

IoTでは、サイバー攻撃の影響が情報漏えいだけにとどまらず、現実の機器や設備の動作にまで及ぶおそれがあります。例えば、スマートロックが不正に解錠されれば侵入につながり、医療の現場では機器の誤作動が人の安全に関わります。

経済産業省が策定した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」^※4でも、サイバー空間とフィジカル空間の融合が進むことで、サイバー攻撃がフィジカル空間に影響を及ぼすリスクが増大すると指摘されています。

このため、IoTのセキュリティは情報を守るだけでは足りません。停止すると影響の大きい機器は何か、誤作動すると危険な動きは何かをあらかじめ整理し、その機器や通信を優先して守る設計にすることで、限られた予算や人員でも効果的に対策を進めやすくなります。

実際に起きたIoTセキュリティの被害事例

大規模ボットネット「Mirai」の猛威

Miraiは、IoT機器を狙って感染を広げ、ボットネットを形成するマルウェア（悪意のあるプログラム）として知られています。IPA（独立行政法人情報処理推進機構）によれば^※5、2016年に米国企業が大規模なDDoS攻撃を受けた事例では、Miraiに感染したネットワークカメラや家庭用ルータ等のIoT機器がボットネット化され、攻撃に悪用されています。Miraiによる攻撃の影響で、多くのユーザーが利用する複数のサービスが一時的に利用できなくなりました。

Miraiの感染手口は、決して高度なものではありません。IPAは、Miraiが「root」や「password」といった初期設定のままのログイン情報を使って侵入を試みる仕組みであったことを指摘しています。つまり、多くのIoT機器でパスワードが初期設定のまま運用されていたことが、大規模攻撃を可能にした一因です。パスワードの変更やファームウェアの更新といった基本的な対策を徹底するだけでも、Miraiのような脅威への有効な防御につながります。

ネットワークカメラの映像流出事件

ネットワークカメラは、プライバシーに直結する映像情報を扱います。初期設定のまま使われたり、管理画面が外部からアクセス可能な状態になっていたりすると、映像が第三者に閲覧されるリスクが高まります。

IPAは「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」^※6を公開し、出荷時のパスワード設定の変更やHTTPS接続の利用などを要件として示しています。

映像が流出すると、個人の生活が把握されるだけでなく、在宅状況や行動パターンが推測される恐れがあります。企業でも、店舗や倉庫のカメラ映像が外部に漏えいすれば、警備上の弱点や業務の実態が把握される可能性があります。カメラは便利な反面、漏えい時の影響が大きい機器です。初期設定の変更と公開範囲の管理は、すぐに着手できる対策の第一歩です。

スマートロック脆弱性による侵入

スマートロックは、鍵の開閉を通信で行うため、通信や本人確認の仕組みに弱点があると、不正な解錠や侵入につながります。情報漏えいだけでなく、直接的な被害につながり得る点で、ほかのIoT機器以上に深刻です。

経済産業省の「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」の資料^※7では、スマートロックに十分なセキュリティ対策が施されていない場合、利用者の財産に影響を及ぼすインシデントにつながる恐れがあると指摘されています。

スマートロックは、家庭だけでなく、無人店舗、貸し会議室、社内の入退室管理などにも広がっています。もし不正に解錠されれば、盗難や破壊だけでなく、内部情報の持ち出しにもつながります。被害を防ぐためには、通信の暗号化や安全な認証方式の採用に加え、ファームウェアを継続的に更新できる製品を選ぶことが重要です。

企業が実施すべきIoTセキュリティ対策

IoTのセキュリティは、1つの対策だけで全体を守ることが難しいため、層に分けて考えると整理しやすくなります。ここでは、「デバイス」「ネットワーク」「クラウド」「運用」の4つの観点から、企業が押さえるべき対策を整理して解説します。

【デバイス】初期パスワード変更と管理

初期パスワードのまま使うことは、IoTで最も起こりやすい設定不備の1つです。攻撃者は、機器の型番ごとの初期設定を調べ、同じ設定の機器をまとめて狙います。台数が多いIoTでは、1台でも初期設定が残っていると、そこが侵入口になります。

総務省・NICTが実施するNOTICEプロジェクト^※8では、「password」「123456」「admin」といった容易に推測されるパスワードが設定されたIoT機器の調査に加え、2024年度からは『脆弱性があるファームウェア等を搭載しているIoT機器』も注意喚起の対象に加えています。パスワードを変えるだけでなく、機器の脆弱性を突いた攻撃への対策も重要であることを示す取り組みです。国を挙げた取り組みが必要になるほど、初期パスワードの放置は深刻な問題です。

企業では、担当者の交代や、現場での急な設置対応に加え、機器が複数拠点に点在することも多いため、初期設定の変更が実施されないまま運用が始まってしまうことがあります。導入時に必ず変更する手順を定め、機器ごとに管理者（担当部署）を割り当てることで、設定漏れを防ぎやすくなります。パスワードは推測されにくいものにし、紙に貼るなどの運用は避ける必要があります。共有が必要な場合は、共有方法も含めてルール化しておくと、現場で迷いにくくなります。

【デバイス】ファームウェア更新と脆弱性管理

IoT機器のソフトウェアには、運用開始後に脆弱性が発見されることがあります。このような脆弱性を修正するために提供されるのが「ファームウェア更新」です。ファームウェアは機器を動かす基本的なソフトウェアであり、更新しなければ、既知の脆弱性が残り続けます。

総務省は2020年4月に端末設備等規則^※9を改正し、電気通信事業者のネットワークに接続するIoT機器にファームウェアの更新機能を備えることを義務化しました。制度面からも、ファームウェア更新はIoTセキュリティの基本要件として位置づけられています。

ただし、IoTは機器ごとに更新方法が異なり、更新に伴う停止時間も考慮する必要があります。そのため、次のような管理体制を整えることが有効です。

対策	内容
機器一覧の整備	型番・設置場所・更新方法・担当者を対応付けて一覧化する
優先度の設定	外部と直接通信する機器や、停止時の業務影響が大きい機器から優先的に対応する
更新スケジュールの策定	更新作業を定期的な計画として運用に組み込み、場当たり的な対応を避ける

【ネットワーク】通信経路の暗号化

IoTは、機器とサーバの間でデータをやり取りします。この通信が暗号化されていないと、途中で盗み見られたり、書き換えられたりするおそれがあります。総務省・経済産業省の「IoTセキュリティガイドライン」^※1でも、通信経路の暗号化は基本的な対策として示されています。

実施すべき対策は、通信を安全な方式で暗号化することです。製品やサービスを選ぶ際は、古い通信方式ではなく、現在も安全性が確保された方式に対応しているかを確認する必要があります。

暗号化は、個人情報の保護だけでなく、データの改ざん防止にも役立ちます。例えば、温度センサーの値が途中で書き換えられると、誤った制御につながるおそれがあります。暗号化は導入するだけでなく、適切に機能しているかを確認することが重要です。

【ネットワーク】不要なポートの閉鎖

IoT機器には、外部と通信するための入口（ポート）が複数存在することがあります。これらのポートのうち、通常の運用時に使わないものを閉じると、攻撃の侵入口を減らせます。これが「不要ポートの閉鎖」であり、攻撃の機会を減らすための基本的な対策です。

実際の現場では、保守作業のために一時的に開けたポートが、そのまま残ってしまうケースが少なくありません。だからこそ、運用・保守を見据えて必要な通信を必要な場合にのみ許可する設計にしておくことが重要です。あわせて、外部から到達できるポートを定期的に洗い出し、見直す運用を習慣化する必要があります。

【クラウド】安全な認証とアクセス制御

クラウド側では、次の2つの要素が重要です。

要素	内容
認証	正当な機器だけが接続できるようにする
アクセス制御	許可された操作だけを実行できるようにする

どちらかが弱いと、不正な機器の接続や、乗っ取られた機器による想定外の操作を許してしまいます。

「IoTセキュリティガイドライン」^※1では、IoT機器とサーバ間の認証機能の導入や、機器ごとの適切なアクセス制御がセキュリティ対策の要点として示されています。

実務では、機器ごとに識別情報を持たせ、接続先や実行できる操作を必要最小限に絞ることが重要です。例えば、温度を送るだけの機器に、設定変更や他機器の操作まで許す必要はありません。権限を細かく分けるほど、万一の乗っ取られた場合でも被害を小さくできます。クラウドは設定ミスが広範囲に影響しやすいため、導入段階から認証とアクセス制御を設計に組み込んでおくことが重要です。

【運用】利用状況の継続的な監視

IoTは導入して終わりではなく、運用を通じて継続的に監視し、異常に早く気づけるようにしておくことが重要です。

まずはネットワーク上の機器を正確に把握し、「何が正常か」の基準を決めます。通信量や接続先だけでなく、機器の挙動や状態も含めて平常時の姿を把握しておくと、異常の兆候を見つけやすくなります。あわせて、脆弱性の有無やサポート切れ機器の有無も継続的に確認し、リスクを把握しておくことが重要です。

異常を検知した際に、速やかに遮断・隔離などの対応が取れるよう、手順と体制をあらかじめ整備しておく必要があります。

IoTセキュリティ対策を導入する手順

IoTのセキュリティ対策は、機器・ネットワーク・クラウド・運用のすべてに関わるため、場当たり的に進めると対策に漏れが生じやすくなります。効果的に進めるには、全体を整理しながら、手順に沿って取り組むことが重要です。

ここでは、企業が取り組みやすい4つのステップを紹介します。

手順1：資産・構成の洗い出しと現状把握（リスクアセスメント）

最初にやるべきは、何を守るかを明確にすることです。IoT機器は現場ごとに種類や用途が異なり、全体像が見えないまま対策を始めると、重要な機器が後回しになりかねません。そこで、自社で利用・提供しているIoT機器や関連システムの構成を洗い出し、どのようなデータを扱い、停止すると何に影響がでるのかを整理します。

IPAが公開している「IoT開発におけるセキュリティ設計の手引き」^※10では、IoTの構成要素を次の5つに分類し、各要素の脅威分析や対策検討の進め方を解説しています。

• サービス提供サーバ・クラウド
• 中継機器
• システム
• デバイス
• 直接相互通信するデバイス

現状把握では、機器の一覧、通信経路、管理方法、更新状況、外部公開の有無を整理しておくと、その後のルール作りや対策の優先順位付けを進めやすくなります。

手順2：セキュリティポリシーの策定

現状を把握したら、次はセキュリティポリシーを決めます。セキュリティポリシーとは、どの水準まで守るのか、またそのためにどのような行動をとるのかを定めたルールです。例えば、初期パスワードは必ず変更する、更新は月1回確認する、外部から管理画面にアクセスできる場合は許可した接続元・ユーザーのみに限定する、といった内容です。

ポリシーは、理想を並べるだけでは現場で運用しにくくなります。止められない機器、外部委託の保守、夜間の稼働など、現実の制約を前提に、実際に守れる形へ落とし込むことが重要です。誰が、いつ、何を行うかまで決めておくと、運用上の漏れを防ぎやすくなります。

また、脆弱性が見つかった際の連絡窓口や、情報公開の考え方もあらかじめ定めておくと、対外説明が必要な場面でも円滑に対応できます。「IoT製品に対するセキュリティ適合性評価制度構築方針」^※11でも、製品の脆弱性に関する問い合わせ窓口の設置や情報提供体制の整備が、IoT製品ベンダに求められる要件として示されています。

手順3：適切なソリューションの選定と導入

ポリシーが定まったら、実現する手段を選定します。ここでいうソリューションとは、機器の管理、ネットワークの監視、ログ（操作や通信の記録）の収集などを支える仕組みを指します。

ソリューション選定の基準としては、2024年度から本格運用が始まった『JC-STAR（IoT製品セキュリティ適合性評価制度）』^※12の活用が推奨されます。これは、製品の安全性を『★1』などのレベルで可視化する制度であり、2025年4月以降、政府機関や地方公共団体において、IoT製品の調達時にJC-STARの活用を求める動きが進んでいます。

また、IPAの「IoT開発におけるセキュリティ設計の手引き」^※10では、脅威分析や対策検討の進め方に加え、デジタルテレビ、ヘルスケア機器、スマートハウス、コネクテッドカーなど、分野別の実施例が図解で紹介されています。自社のIoT環境に近い事例を参考にすることで、必要な対策とソリューションの組み合わせを具体的にイメージできます。

導入にあたっては、全社で一斉に変更するよりも、重要度が高い領域から段階的に進めることで、調整コストを抑えることができます。特に、外部と直接つながる機器や、個人情報を扱う機器から着手し、リスクの高い箇所から優先的に保護していくことがポイントです。

手順4：運用体制の構築と定期的な見直し

最後に、対策を継続的に運用する体制を構築します。IoTでは、機器の追加や交換、更新の適用、設定変更などが継続的に発生します。担当者が明確でない場合、更新が適用されない、設定の見直しが行われないといった状態が生じやすく、結果としてセキュリティレベルが徐々に低下します。

具体的には、以下のような運用体制を整える必要があります。

• 担当者・連絡先・緊急時の対応手順を明文化し、インシデント発生時に迅速に対応できる体制を作る
• 機器一覧が最新の状態に保たれているか、更新が滞っていないか、外部公開の範囲が広がっていないかを定期的に点検する
• 攻撃者の視点で弱点を把握するため、脆弱性診断やペネトレーションテストを定期的に実施する

「IoTセキュリティガイドライン」^※1においても、出荷・リリース後の運用・保守段階でリスクを把握し、関係者への適切な注意喚起や情報共有を継続的に行うことの重要性が示されています。点検やテストを取り入れることで、導入時には気づかなかった弱点を発見でき、対策を実際の運用に合わせて見直しやすくなります。

IoTの価値を守るために、今から始めるセキュリティ対策

IoTは、機器、ネットワーク、クラウド、運用がつながることで価値を生みます。その一方で、どこか1つに弱点があると、情報漏えいや業務停止、さらには物理的な被害につながるおそれがあります。IoT機器や関連システムを対象に、攻撃者目線で脆弱性を洗い出すIoT機器診断（ペネトレーションテスト）の実施をおすすめします。

ラックでは、IoTデバイスペネトレーションテストを提供しています。自社のIoT環境に対してペネトレーションテストを実施することで、外部からの侵入経路や設定不備などの弱点を明らかにし、重要な資産（設定情報や資格情報、制御機能など）が実際に侵害され得るかを検証できます。その結果をもとに対策を優先度付けし、社内ルールや運用に落とし込むことで、限られたリソースでも効率的にリスクを低減できます。

参考情報

※1 経済産業省 - IoT セキュリティガイドラインver 1.0

※2 総務省｜令和5年版 情報通信白書｜データ集「42. 世界のIoTデバイス数の推移及び予測」

※3 NICTER観測レポート2025の公開｜2026年｜NICT-情報通信研究機構

※4 経済産業省 - サイバー・フィジカル・セキュリティ対策フレームワーク

※5 ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※6 IPA - ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト

※7 経済産業省 - IoT製品に対するセキュリティ適合性評価制度の構築について

※8 ウェブカメラやルータが乗っ取られる？IoT機器のセキュリティ対策は万全ですか？ | 政府広報オンライン

※9 総務省 - 電気通信事業法に基づく端末機器の基準認証に関するガイドライン（第１版）

※10 IPA -「IoT開発におけるセキュリティ設計の手引き」

※11 経済産業省 - IoT 製品に対するセキュリティ適合性評価制度構築方針

※12 セキュリティ要件適合評価及びラベリング制度（JC-STAR） | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構