前回のコラム【特集】WannaCry騒動で明らかになったIoT/OTに迫る危機では、「WannaCry」や「Shamoon」といったマルウェアの登場によって、従来から課題とされてきたITのセキュリティだけでなく、Operation Technology(OT、モノの技術)やそれらを組み合わせたInternet of Things(IoT)のセキュリティについて真剣に考えるべき時期が到来したことをご紹介しました。
人によって、また文脈によってさまざまな定義がなされるIoTですが、本質は、何らかの「モノ」(OT)とITシステムがつながり、融合することで新たな価値を生み出すことにあります。その価値を狙う攻撃者のハードルを上げ、高いコストをかけなければ攻撃が成立しない状況を作り出すことが重要です。その意味で、ITセキュリティとIoTのセキュリティの考え方には共通する部分があります。
一方で、「IoTに今までの情報セキュリティの考え方を当てはめようとしても、うまく会話が噛み合わない可能性があります」と、マカフィーのセールスエンジニアリング本部 サイバー戦略室でシニアセキュリティアドバイザーを務める佐々木弘志は指摘します。
「ITのセキュリティでは、情報漏えいや改ざんを防ぐ『CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)』という考え方に沿って、通信の暗号化をはじめとする対策を適用してきました。モノのセキュリティに関しても同じようにCIAを当てはめ、従来のITセキュリティの延長線上で考えようとすることが多いようです。しかし、モノについて考える際には、セーフティ(安全性)や継続的かつ安定的に運転するための信頼性、レジリエンシー(回復性)といった要素が重要であり、CIAの考え方はそのままフィットしません」(佐々木)
前回のコラムでも触れた通り、ITとOT双方の領域を理解している人はただでさえ少ない状況です。その上、こうした考え方の違いによってIT担当者とOT担当者の話が噛み合わないままでは、対策も進まないままです。まずは、これまでのITセキュリティの延長という考え方を根本的に変え、多種多様なモノそれぞれの「都合」を考慮しつつ、新しいセキュリティの概念を構築していくことが必要だとマカフィーでは考えています。
最低限のガイドラインを定め、取り組むメーカーに適切な評価を
そんな議論をよそに、ITとOTが連携してのIoTは、世の中のさまざまなところに浸透し始めました。何をどこまでIoTに含めるかは意見の分かれるところですが、監視カメラをネット越しに制御したり、遠隔操作が可能なエアコンを活用し、スマートメーターで電力消費量を確認したり……こうした身近な領域だけでなく、工場で機器の稼動状況を監視するといった形でも活用されようとしています。
そんな中、国内外で多くのルーターやカメラといったデバイスが感染した「Mirai」のように、早くも実害が生じています。「Miraiのケースでは、感染によって自分が被害を受けるだけでなく、社会悪になる恐れがあることも示されました。しかもモノは、悪用されれば身体や人命に影響を与える恐れがあり、安全性が重視されます。サイバーとの連携によって、情報漏えいなどのリスクだけでなく、安心・安全が脅かされる恐れがあることも考慮に入れなければなりません」(佐々木)
この状況を改善し、攻撃者のハードルを上げるために、まずは「業界ごとに、最低限やるべきことを定めたガイドラインを作るべきではないでしょうか。場合によっては、法的な根拠のある規制も検討すべきでしょう」と佐々木は述べています。最低限の基準を示すことで、少なくとも、推測容易なデフォルトのパスワードが設定されたまま……というような、Miraiがつけ込む脆弱な状況を改善すべきと言います。
日本では既に、経済産業省や総務省がIoTのセキュリティに関するガイドラインを公表していますが、佐々木はさらに、「モノ」ごと、業界ごとにもう一歩踏み込んだ具体的なガイドラインを定めるべきではないかと提案しています。そして「例えば工業製品の品質を示す『JISマーク』のように、ガイドラインをクリアした製品に何らかのマークを付け、消費者が安心・安全なモノを選べるようにすべきではないでしょうか」と述べ、「安心・安全」のくくりの中にサイバーも統合していくのがあるべき姿の1つだとしました。
というのも、最低限の基準すら存在しない状態では、悪貨が良貨を駆逐し、きちんと安心・安全に取り組んでいる(がゆえに、製品コストも相応になる)ベンダーが割を食う可能性があるからです。安価だが脆弱な製品が市場にあふれた結果、もっと凶悪なMiraiやShamoonのような攻撃が大規模な被害をもたらしてからでは手遅れです。最低限のセキュリティに関する基準を定め、IoTのセキュリティの底上げを図ることは急務と言えるでしょう。これは、きちんとリスクに向き合って対策に取り組むメーカーの正当な評価にもつながるはずです。
ユーザーの意識を高め、ライフサイクル全体の設計を
佐々木は同時に、従来のモノ作りの世界で当たり前とされてきたサポートのあり方にも変化が必要ではないかと述べています。脆弱性が発覚して悪用され、「メーカーが悪い」「いや、危ない状態で使い続けていた利用者が悪い」……と責任を巡って不毛な議論に陥る前に、新しいモデルを作る努力が必要です。
「同じPCを10年間使い続ける人はあまりいないでしょう。一方、家電は一度買うと数年間、時に10年単位で使うもので、中には保証期間が過ぎても利用する人もいます。その間に出てくる全ての脆弱性、全ての脅威に対応していてはきりがありません。モノを作り、生産し、手元に届け、使い、捨てるまでのプロダクトサイクル全体を、モノそのものだけでなくモデルや使い方も含め、設計しなければならないでしょう」(佐々木)
一つのアイデアとして、保証期間内はサポートセンターからパッチを適用し、サポートが切れればIoT機能をオフにしてしまい、「ただの家電」として使う形が考えられます。ただそれには、消費者側の理解が不可欠です。IoTにどのようなリスクがあるのか、なぜ最低限の対策が必要であり、サポート切れの機器をインターネットにつないでいると危険なのか。広い理解と両輪で仕組みを作っていかなければ、受け入れられないでしょう。
IT社会と言われて久しいですが、「脆弱性は減る方向にはありますが、決してなくならないでしょう。IoTもITと連携する以上、その影響を受けます。しかもモノという性質上、安全性に影響が及ぶ可能性もありますし、デバイス単体で完結せずにクラウドサービスなどと連携すると、今度はクラウド事業者やアプリケーションの開発も関係してきます。それらの責任分界点の議論もこれから必要になるでしょう」と佐々木は述べ、引き続き業界全体の取り組みが必要だと述べています。
「それほど高度とは言えないMiraiでさえ、あれだけの被害をもたらし、守る側の準備ができていないことを示しました。リスクと利益のバランスが現状のままで落ち着いてしまうと、攻撃者にとって楽しい世界が到来してしまいます。ガイドラインの策定をはじめとする取り組みを進め、攻撃者のハードルを高めていかなくてはなりません」(佐々木)