日本のPOS端末が狙われる、組み込みシステムのセキュリティ対策：セキュリティ強化塾（6/6 ページ）

[キーマンズネット]

通信の監視は攻撃の踏み台にされないために重要

　組み込みシステムが社内や社外のネットワークに常時接続されている場合には、通信の監視と制御の仕組みにより、不審な通信、不正な通信を発見し、不正な通信はブロックできるようにしておきたい。

　ルーターやファイアウォール、IPS、IDSがこの役割を果たす。外部の通常とは異なるIPアドレスへの通信や、異常に頻繁、大量なトラフィックなどを検知し、不正なものと判断したら遮断できるように設定しておくとよい。

　組み込みシステムにウイルスが感染し、外部の攻撃用サーバと交信するのを防ぐこともできるし、社内ネットワークへのIPSやIDS設置によれば社内での機密情報の保管先への不審なアクセスを発見、遮断することもできる。

　予算が許せば、SIEM（Security Information and Event Management）ツールやDLP（Data Loss Prevention）ツールを利用して、機密情報の外部流出を水際で食い止める仕組みを作ることも薦められる。

組み込みシステムの廃棄時にはデータ消去に注意

　PCの場合と同様に、組み込みシステムの廃棄時のデータ消去はユーザー企業の責任であり、必ず実施しなければならない。暗号化の有無を問わず、個人情報をはじめ機密情報が記録されたHDDなどの記録媒体は、データが復元できない方法で中身を消去する必要がある。

　機器導入時には、データ消去機能の有無と使い方をよく確認しておきたい。もしもデータ消去機能がない場合は、PCを利用したHDD完全消去や、電磁気でデータを破壊する物理消去法を利用してデータを消すことになり、コストがかさむ。

　なお、機器ベンダーやリサイクル業者が廃棄する機器の回収を行い、データ消去もしてくれるサービスを提供している場合がある。消去結果の確認をどうするのかなど、ユーザー企業の責任が果たせるかどうかを検討した上で、利用するとよい。