第32回 部品の数だけ必要なIoTのセキュリティ:日本型セキュリティの現実と理想(3/3 ページ)
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。
部品の数だけ必要なIoTセキュリティ
しかし、現在でもIoT機器の利用者はもちろん、製造元でさえ自社製品の脆弱性がサイバー攻撃の対象になることをほとんど想定していない。
製品開発者は、その分野の機能や使いやすさ、安定稼働させるための品質に特化した技術は持っているが、サイバー攻撃の手法やセキュリティ対策の技術を持っているとは限らない。自動車や自動車部品の製造ラインの技術者が管理すべきは製品の品質であって、セキュリティではない。そんな技術要素の異なる畑違いのことを製造現場の技術者に要求するのは、そもそも無理というものだろう。
IoTのセキュリティ対策をするなら、製品設計時からセキュリティを性能として考えた仕様にしなければならないし、販売した後もセキュリティの管理をできる仕組みにしておかなければならない。さらにいえば、それは部品レベルでも必要なことだ。
これらを全てメーカー1社でまかなうことができればまだよいが、製造業は完成品メーカーだけで成立しているわけではなく、1つの製品の完成に無数の部品メーカーが携わっている。中にはモラルの低い部品メーカーも存在し、そうした企業が作る部品では、製造過程で既にマルウェアが混入していることも珍しくないという。つまり、そんな部品を使った完成品は、自ずと大きな脆弱性を内包していることになる。
完成品メーカーは製品全体の品質だけでなく、数千〜数万点にも及ぶ膨大な部品の一つひとつに責任を負わなくてはならない。それにはとんでもない手間とコストが必要だ。完成品はもちろんのこと、いずれ部品メーカーにも一定レベルのセキュリティ対策が義務となる日が来るだろう。
こうみると、IoTのセキュリティ対策はその完成品を構成する部品の数だけ必要になってくる可能性がある。しかし、現在では具体的なセキュリティ対策の実装方法が確立されておらず、もちろんそのための製品やサービスが出そろっているわけでもない。なにより、それを実行するセキュリティ人材自体がいないのだ。例え人材がいても、その人材が対応できるセキュリティ対策はITの分野に限定されてしまうだろう。生産現場の技術者がセキュリティ技術を知らないように、セキュリティ技術者も製造現場や制御システム、生産ラインなどの技術を知らない。この溝をどう埋めていくかは、今後さらに大きな課題となるはずだ。
なお、既に多くのIoT機器やシステムがサイバー攻撃を受けているが、攻撃者がマルウェアなどを使って核施設や大規模プラントにテロをしかけても、その施設が直ちに制御不能な状態にならないだろう。筆者が聞く範囲で、攻撃がそれらの施設の主要部分には到達していない。停止させられてもそれほど問題がない機器を停止させるか、その機器を他の機器やシステムに対する攻撃の踏み台にするくらいだろう。
そして、それらの機器は攻撃を受けても「再起動するだけで簡単に復旧する」ものがほとんどだという。攻撃者がIoT機器を狙い、利用しているのは事実だが、それが非常に脆弱で攻撃しやすい対象だからだ。現時点では最低限の脆弱性の対策をするだけで、これらのリスクのほとんどは回避できるだろう。
もちろん、これだけでもそれなりに問題かもしれないが、ほんの数年先に現実のものになるかもしれないIoT全盛の世界には、これよりもっと大きなリスクが満ちている。まずIoTの利用が劇的に拡大するのは間違いない。そして、IoTが世の中の津々浦々になくてはならない時代になれば、現時点で表面化している一つひとつの小さなリスクが積み重なり、ついには臨界点を迎えて一気に爆発的な被害を引き起こすかもしれないのだ。できるならIoT機器の放置が習慣化していない今のうちに、自分の所有している機器の最低限のセキュリティ対策とその管理はしておいた方がよいだろう。
このようにIoTは、世の中が飛躍的に便利になる可能性を十分に持ちながら、その手前にセキュリティをどう保つかという大きなハードルを越えなくてはならない。次回は、さらにこのIoTのセキュリティを追求していく。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
- 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。 - 第12回 「下町ロケット」で理解する機密情報の管理とは?
池井戸潤氏の直木賞受賞作品「下町ロケット」を原作としたドラマが大ヒットしている。ドラマでは「死蔵特許」という特許情報の位置づけや取り扱いと情報セキュリティにおける機密性が良く似ている。今回は情報の取扱いの重要性について「下町ロケット」を例にひも解く。 - 第4回 常時接続から始まったセキュリティ対策の“無間地獄”
連日のようにセキュリティの事故や事件が取り上げられ、守る側と攻める側との“いたちごっこ”の状態が続いている。なぜ、このような事態になったのか。今回はインターネットの歴史からひも解いてみたい。 - 第16回 標的型攻撃が生んだセキュリティビジネスの“光と影”
セキュリティ業界が活況だ。APT攻撃とも呼ばれる2011年の事件をきっかけに、新たな光が射したが、その分だけ影も色濃く出てしまった。標的型攻撃からセキュリティビジネスの本質について述べる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.