便利なものは、みんなが使い始める。みんなが使い始めたものは、狙われやすくなる。
年々リリースされ続けているIoTデバイス。IoTとはモノがインターネットに繋がる「Internet of Things」の略語だ。家電や業務用機器などにインターネットへの接続機能を持たせて、より手軽に、便利に使えることをねらう。クラウドファンディングや企業内の小規模プロジェクトとしても、IoT機器を開発するベンチャーもめずらしくない。
運動量などを取得してネットで確認するウェアラブル機器はもはやおなじみだし、スマホで外出先からコントロールできる「スマート家電」も普及の兆しを見せている。電気や水道など重要なインフラも、インターネット経由で動作するケースが増えてきているようだ。
しかし、IoTデバイスはネットワークの一部である。デバイスをネットに接続するということは、ネットを経由した脅威に晒される可能性が生まれる、ということでもある。より多くのデバイスがインターネットに接続されるようになれば、当然、そこを狙った攻撃も増えてくるだろう。
たとえばパソコンは、安くても数万円、10万円を超えることも多く、セキュリティーのためのソフトウェアを導入することは“当然”とみなされている。しかし、家庭用のIoT機器はデバイスの価格が安いものも多く、セキュリティーへの対策はおろそかになりがちだ。IoTが身近になれば、セキュリティー対策を意識したことがない人たちは、悪意を持った攻撃者にとって格好の標的になってしまうかもしれない。
また、消費者向けのIoTだけでなく、インフラにかかわる機器が悪意をもってハッキングされれば、地域一帯に被害が出る可能性もあるだろう。IoTが普及している現代社会において、「IoTって便利だよね」という知識だけではいささか心もとない。
消費者側も、メーカー側も、IoTデバイスに対するセキュリティーへの意識を高める必要がある。McAfee Blogの記事「IoT時代のセキュリティーを考える」を紹介しよう。
IoT時代のセキュリティーを考える
インテル セキュリティで、サイバー戦略室 シニア・セキュリティ・アドバイザーを務める佐々木弘志です。重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。
今回は、IoTセキュリティについて取り上げてみようと思います。IoTという言葉をIT関連のイベントや記事で見かけない日はありません。中にはIoTって言いたいだけでは?というようなものもありますが、なんだか盛り上がっているような気がします。一方で、IoTに関するセキュリティの議論はさほど盛り上がっていないように感じています。そこで、今回から数回にわたって、IoTのセキュリティについて今の課題や今後の方向性などさまざまな側面から考察することで、皆さんの議論の一助としていただきたく思います。
IoT時代では何が変わるのか?
まず、IoT時代がやってくるとしたら一体何が変わるのでしょうか?その理想的な状況をイメージしてみましょう。無人化された工場ではロボットが工場の装置から収集したデータをもとに、AIによって極限まで効率化された生産を行っているでしょう。また、スーパーで欲しい商品を選んで店を出るだけで、顔認証で決済がされたり、郊外で無人タクシーの自動運転が実現して高齢者の安価な足となると便利ですね。すでに始まっているコネクテッドホームも進化しそうです。例えば、電気代と気象予報を考慮して最も効率良く心地よい24時間の空調が行われ、仕事のスケジュールと連携したアラームで目覚めると、その日の体調や仕事内容に合わせた音楽が流れたり、体調管理のためのおすすめの食事が表示されたり、冷蔵庫が自動で必要な食材や飲み物を注文したり。星新一のSFのような世界が現実となる日も近いように思えます
ちょっと先の未来のように思えますが、これらのことに共通するのは、これまでのIT(情報技術)が主にサイバー空間内で価値を生み出してきたのに対して、IoT時代は、ITがモノ(デバイス)の技術(OT:Operational Technology)とネットワークを経由して協働することで、もっとダイレクトに私たちの経済活動や生活を豊かにしてくれるということです。
IoT時代のセキュリティとは?
では、IoT時代における「セキュリティ」とはどのように考えたら良いのでしょうか?私はここ数年この問いについて考えてきた結果、この問いかけ自体が正しい解に辿り着くことを難しくしていると考えています。ここで「セキュリティ」という言葉を使うとき、IT業界、主にセキュリティ業界の人は「情報セキュリティ」をイメージするでしょう。情報セキュリティという言葉は、経済産業省が策定した情報セキュリティ管理基準であるJIS Q 27002:2014によれば「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。」と定義されています。このうち、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を情報セキュリティ3要素(C-I-A)として、これらを維持することが情報セキュリティの基本であるというのが一般的な考え方でしょう。しかし、先ほどイメージしたIoT時代の世界にこのフレームワークを当てはめても、どうしてもしっくりいきません。それは、この考え方にはIoTのもう一つの主役であるモノの事情が反映されていないからです。例えば、モノの世界では当たり前の「安全」(Safety)が考慮されていません。無人タクシーが、仮にサイバー攻撃を受けて暴走したとしても、モノ(OT)の世界では、サイバー空間の「情報」の如何に関わらず、物理的に安全にタクシーを停車する機能が求められるでしょう。こうして考えてみると、本当に発するべき問いは「IoT時代の安心・安全をどのように考えたらよいか?」であって、「セキュリティ」はその一部、もしくはモノの事情を反映して再構築が必要な概念であることが分かります。
IoTのセキュリティは、概念の再構築が必要
IoTのセキュリティについて語ると言っておきながら、いきなりそれを覆してしまって申し訳ありません。ですが、この問題がこれまでの情報セキュリティの延長で片付けることができず、大きなパラダイムチェンジを必要としていることが分かっていただけたと思います。冒頭にIoTに関するセキュリティの議論はさほど盛り上がっていないと感じていると述べましたが、その原因もおそらくこの難しさにあるのではないかと思います。実際、今世界中でIoTセキュリティに関するガイドラインが発行されていますが、C-I-Aの概念の再構築に踏み込んでいるものはあまり多くはありません。その限られたいくつかを紹介します。例えば、NIST(米国立標準技術研究所)が発行する「NIST Framework for Cyber-Physical Systems」 (英文)では、IoTシステムが持つべき要素として「Trustworthiness」(信用性)を定義して、信用性を成す5要素として「Safety」(安全性)、「Reliability」(信頼性)、「Privacy」(プライバシー)、「Security」(セキュリティ)、「Resilience」(レジリエンス・回復性)を挙げています。また、IoT関連の世界的な業界団体であるIndustrial Internet Consortium (IIC)が公開したセキュリティフレームワーク(英文)でもこの5要素を基本概念として継承しています。また、日本でも内閣サイバーセキュリティセンター(NISC)が2016月6月に発行した「安全なIoTシステムのためのセキュリティに関する一般的枠組」の中でも、「安全」をC-I-Aと並ぶ柱のひとつとしています。
このように、従来のIT側だけのセキュリティの考え方だけでなく、モノ(OT)側の考え方を取り入れて、IoT時代における新しい安心・安全の概念を構築していこうという取り組みが既に始まっています。
次回は、これらの取り組みを分かりやすく紹介したあとに、IoT時代における安心・安全を構築しようとしたときの現状の課題について、もう少し深く掘り下げてみようと思います。
