機器メーカー、通信事業者、国が一体となりIoTセキュリティを
一方、IoTセキュリティについては「『セキュアIoTフレームワーク』を作らないと、オリンピック(の2020年)に間に合わないのではないか」と、小山氏は語る。
PCやスマートデバイスとは事情が異なり、IoTの世界では管理者不在のデバイス(“野良IoT”)があふれ、10年以上にわたって使い続けられるデバイスも多く生まれる。さらに、2020年には250億個ものデバイスがつながると言われており、攻撃の踏み台にされても気づかれない可能性すらある。
小山氏は、こうしたIoTの世界をセキュアに保つために技術的、組織的なセキュアIoTフレームワークを考えているという。
技術的には「IoTを、Internet of Thingsではなく“Intranet of Things”と考える」(小山氏)。つまり、さまざまなデバイスにはプライベートIPアドレスを割り当て、必ずゲートウェイを介してインターネットに接続する仕組みにする。これにより、ゲートウェイのセキュリティ技術さえ常に更新していれば、古いデバイスのセキュリティも維持できる。
一方、組織的なフレームワークとしては、ネットワーク接続されるデバイスメーカー、ネットワークサービスを提供するISP/通信事業者、法整備を行う国、の三者が一体となって取り組む必要があると小山氏は考えている。たとえば、ISPが通信パターンから攻撃の踏み台になっているデバイスを発見し、メーカーや販売店経由で注意喚起と対策情報の提供を行う。やむを得ない場合には通信の遮断を行うこともある。こうした取り組みが適法に行えるようにするには、法整備が必要となる。
「ボット感染したPCのユーザーに対し注意喚起の連絡を行い、対策を促したサイバークリーンセンター(CCC)での実績が生かせるのではないか(関連記事)」(小山氏)
セキュアIoTフレームワークは、まだ業界内で話し合いがスタートしたばかりの段階だ。「IoTがスタートする今だからこそ、こうしたフレームワークでの取り組みをしてほしいと考えている。日本で成功事例を作り、将来的には国際展開できるような取り組みにしたい」(小山氏)。