企業の方と話をすると、IoTのセキュリティというよりクラウドにデータを置くことに対する抵抗が強いように思います。
データが記録されている装置が、物理的に社内にあるのか、社外にあるのかということが、気になっているということでしょう。
気持ちとしてはわかりますが、とちらかというと心理的なもので、現実の危険性とは少し違うように思います。
ATMに現金で入金すると、札束はただの数字になってしまいますが、かえって安心するという人も多いのではないでしょうか。
結局のところ、信頼の問題につきると思います。
◯データ送信のセキュリティ
IoT機は基本的にクラウド(broker)へデータを送信するだけです。したがって、下記のセキュリティを設定します
- broker接続に認証を設定する
- broker接続をSSLで暗号化通信にする。
- 送信元IPアドレス制限をつける(固定IPが必要になります)
大手のIoT向けサービスは、上記の設定が標準になっています。これは弊社のサービスでも同じです。
◯データ受信(表示)のセキュリティ
- Webサーバー等をSSLで暗号化通信にする。
- ダッシュボード等に認証をつける
表示の場合は、送信元IPアドレス制限はつけません。つけることも可能ですが、そうすると、そのIP(社内)からしか閲覧できなくなります(社外からスマホで閲覧はできなくなります)。
まれに「自社のデータが他社にみられると困る」という方もみえますが、"どこからでも"と、"誰からでも"は違います。特定の人だけ閲覧できるようにするのが認証です。
以上