5G時代だから特別何かが変わるわけではない
── 5Gの本質はIoT活用だというお話がありました。IoT機器を安全に運用する上で知っておくべきことがあれば、教えてください。
佐々木 いまIoTデバイスを通信ポートの制限等なしにインターネットに接続すると、数分後に攻撃を受けるほど、汚染された環境があり、これをどうきれいにするかが課題です。
一昨年、IoTデバイスを狙うマルウェア「Mirai」が登場し、問題となりました。これ以降、攻撃対象にするポートの種類が増えるといった動向もありますが、本質的な部分で攻撃が高度化した印象はありません。世間には、デフォルトのパスワードのまま運用されているなど、「攻撃しやすいIoT機器」が数多く存在しています。いまあるIoT機器のセキュリティ対策をしっかりとすることが重要です。5Gになったからといって、攻撃者は戦略変更の必要はありません。目の前に脆弱性を抱えた機器が数多くあるのですから。
── 機能がシンプルなIoT機器は、パソコンやスマホのようなクライアント側でのセキュリティ対策が取りにくそうです。
佐々木 IoT機器の多くは「コストの制約」の中で開発されています。つまり、リッチなセキュリティ機能を入れにくい傾向があります。「使えて、動いて、ビジネスができる」。その効率性だけを優先すると、この視点が抜け落ちてしまいます。しかし、あとからそのつけを払うほうが、高コストであり、対応も困難であることは知っておくべきでしょう。
製品開発においては「Security by Design」。つまり「設計段階からの安全性」を考慮すべきです。設計段階から、脆弱性が見つかった際に機器を更新できる、攻撃を受けた際に切り離せる領域を作っておく、といった配慮が必要です。
アップデート機能は「諸刃の剣」でもあります。脆弱性が見つかった際に、機器を更新できる仕組みを作っても、ここがセキュアでなければ、ハード自体が改悪される危険性も出てきます。また、メーカー側のミスで、製品アップデート時にセキュアなポート自体を閉じてしまい、自主回収することになった例もあります。5G時代に入り、通信が高速化し、接続する機器も増えれば、悪影響が一気に広がる可能性が否定できません。
── 機器を開発するメーカーだけでなく、運用する側で注意する点はありますか?
佐々木 アップデート機能は諸刃の剣だと言いましたが、ファームウェアをアップデートできる仕組みが入っていれば、デバイス側のセキュリティは何とかなる面があります。しかし、ネットワーク全体の設計については、あとあと変えづらい面があり、慎重に判断すべきでしょう。
既存のネットワーク内にIoT機器を導入する際には構内ネットワークとクラウドの間に、ゲートウェイを挟む方法があります。ゲートウェイとクラウド間の通信を保護することで、盗聴や改ざんを防げます。ゲートウェイの内側にレガシーな通信が残りますが、外部からの攻撃を受けるリスクは減らせます。
新規に導入するのであれば、クラウドと端末間の通信をチップレベルで管理する「E2Eセキュリティ」の導入が有効です。認証の安全性を担保し、かつやりとりするデータ時代にも強力な暗号を掛ければ、どの経路を通っても安全な通信ができるようになります。認証については、ソフトではなくハードレベルで実現した方が、低負荷でコストも下げられると考えています。そうでなければ、専用線に限った通信をするなど、経路自体の安全性が求められます。
