第15回 2016年に考えたい5つのセキュリティ課題（後編）：日本型セキュリティの現実と理想（1/3 ページ）

長年セキュリティマーケターとして、セキュリティのさまざまな事象の変化を見てきた。2016年に考えたいセキュリティ分野の課題から、今回は頭を悩ませることになりそうな3つの課題をピックアップする。

[武田一城，ITmedia]

　今回は、前回に続いて2016年に考えたい5つのセキュリティ課題の後編だ。2016年に注目されると思われる残り3つのセキュリティ課題を取り上げてみたい。

課題3： 災害対策と同レベルになる？ IoTセキュリティ

　IoTは「Internet of Things」（モノのインターネット）と呼ばれ、ここ数年の間に出てきた新しい概念だ。これまで人間が操作する「ヒトがつなげるインターネット」だったPCやスマートフォンなどのモノが、さまざまな技術の進化や通信インフラなどの整備によって、ヒトが操作してつなげなくてもモノが自動的にネットワークに接続される。これにより、これまで活用できなかったさまざまな情報活用が可能になり、新たな利便性や価値を提供できる社会が実現するのだ。

　例えば、ドローンによる自動配達やクルマの自動運転、スマートメーターやスマート家電などが既にニュースで取り上げられている。未来の新しい社会を構成するインフラとして非常に可能性が高いからだ。しかし、数年もしないうちにニュースでは見なくなるかもしれない。IoTがごく普通の現象になると思われるからだ。ほんの5年前はガラケーと呼ばれる携帯電話が主流だったが、現在ではスマートフォンになったように、IoTも普及する可能性が非常に高い。

　スマートフォンはGPSやWi-Fiアンテナ、決済機能を備え、SNSやWebブラウザの閲覧履歴などの情報も蓄積されている。スマートフォン自体がユーザーの行動を監視、管理しているセンサー機器の一つともいえ、IoTの普及が既に進んでいる。より単純で、簡単なモノの監視と管理の仕組みが普及しない理由はほとんどないのだ。

　IoT最大の課題は、やはりセキュリティだろう。IoT機器は「スマート××」と呼ばれることが多い。「スマート」とは「賢い」という意味で使われることが多いものの、セキュリティの観点では少し意味合いが異なる。機器がインターネットなどの外部環境とつながることは、外部から攻撃され得る可能性があるということと同義だと解釈した方がいいだろう。得られるメリットの高さに反して、攻撃される可能性が従来の機器よりも飛躍的に高まることを理解してほしい。

DRやBCPに似るIoT

　IoTセキュリティは、これまでのICTのセキュリティとは守るべき対象が大きく異なる。ICTのセキュリティではPCやタブレットなどに格納されている「情報」をどう守るかが命題だ。攻撃者は奪った価値ある情報を売却して利益を得るので、ICTのセキュリティ対策は、買い手のいる機密情報や個人情報などを守るものになる。

　それに対してIoTのセキュリティは、「機器」を乗っ取られないようにすることが最大の命題だ。自動運転のクルマやエレベータなど、制御されているさまざまなモノが悪意を持つ何者かに乗っ取られてしまったとしたら、事態は深刻だ。乗っ取り犯に命を預けたことと同じようなものだ。ランサムウェアの場合のように、クルマやエレベータの中から自分の身代金がビットコインで支払われ、助けてもらうような事件が発生するかもしれない。

　これが大規模な工場プラントや原子力発電所のような場合は、もっと重大な事件になる。被害が大きくなる可能性が高く、これらの機器を乗っ取られないようにする対策は大きな災害への対策と同等であり、DR（Disaster Recovery）やBCP（Business Continuity Plan）と呼んでも過言ではないレベルといえる。

　2016年にそれほどの重大事件がすぐに起こることはないと思うが、上記を想起させるような事件や事故が発生する可能性はある。

ICTとIoTのセキュリティの違い