隔離ネットワークすら通用しない!? IoTのセキュリティ侵害 その対策は？

[PR／ITmedia]

PR

　IoTデバイスは急激に増加しており、2017年には世界人口を上回るとされる。総務省は16年の情報通信白書で、20年までに530億個ものIoTデバイスが利用されるとしている。コンサルティング大手のマッキンゼーも、IoT技術の応用が25年には年間6兆2000億ドル（約710億円）もの経済効果をもたらすと予測している。

IoTのセキュリティ侵害がもたらす驚異的なインパクト

安藤類央 特任准教授（国立情報学研究所 サイバーセキュリティ研究開発センター）

　「IoTデバイスは、量と質で大きな変化を遂げています。すでにPCよりも圧倒的な量が稼働し、センサーも多種多様で個人で管理できるようなものではありません。PCでできることの多くは受動的でしたが、IoTによって外界に働きかけられるようになりました。ビジネスに与えるインパクトは計り知れません。その一方で、IoTデバイスのセキュリティ侵害が与えるインパクトも、甚大なものになるということです」と、国立情報学研究所 サイバーセキュリティ研究開発センターの安藤類央 特任准教授は述べる。

　安藤准教授は、IoTのセキュリティについて3つの問題点が存在すると指摘する。

　1つは、IoTデバイスが多種多様すぎるという点だ。PCのように汎用化されていないため、膨大な機能や性能を持ったものが存在する。従来のシグネチャタイプによるセキュリティでは対応が追い付かない。安全性を考慮していないプロトコルを利用するデバイスも多く、例えば高級自動車にも搭載されている通信規格「CAN」は、すでに不正利用された例が報告されている。

　2つ目は、想定されているライフサイクルとサポート期限がバラバラである点だ。IoTデバイスをOSのサポート期限よりも長く使い続けた結果、セキュリティホールを抱える恐れがある。

　3つ目は、そもそもセキュリティ対策を考慮していないというもの。セキュリティアップデートも満足にできる仕様にはなっていない、つまりあらゆるIoTデバイスが攻撃者になるということだ。

　横浜国立大学が16年に行った実験によれば、半年で500種類以上、60万台ものIoTデバイスによる攻撃が観測され、攻撃元のデバイスは監視カメラ、ネットワーク機器、IP電話、管理システム・制御システム、家庭用Webカメラ、CATVセットトップボックス、医療機器、指紋スキャナーなど、身近なあらゆる機器が含まれていたという。

　「IoTデバイスのセキュリティ侵害は、あまりに大きなインパクトをもたらします。現状のセキュリティ対策では不十分です。さらにソーシャルエンジニアリング（ネットワークを介さず、人の隙をついて情報を盗むこと）の技術は非常に高度で、エアギャップ（隔離されたネットワーク）すら役に立ちません。経営者は“何も起こらない”ことを正当に評価し、新しいIoT専用の防御レイヤーにおいて、これまでにないセキュリティソリューションを検討していただきたいものです」（安藤准教授）

AI技術でIoTのパーソナリティーを学んで守る

　安藤氏が主張する「新しいIoT専用の防御レイヤー」は、どのように実現すればよいだろうか。その答えを提供するのが、米ZingBoxが提供するIoT特化型セキュリティソリューション「ZingBox」（ジングボックス）である。国内では、ソフトバンク コマース＆サービスが一次代理店を務める。

米ZingBoxのXu Zou（シュウ・ゾウ）CEO

　ZingBoxのXu Zou（シュウ・ゾウ）CEOは、IoTのセキュリティ問題に対して、「IoTとは、ITと産業機器や医療機器に代表されるOT（Operation Technology）をつなぐものです。これまで分離されてきたものがつながりだし、それらの境界がなくなってきているがために、新しいセキュリティの問題が生じている。サービス品質を向上するためのIoTだが、使い物にならなければ生産性の低下、ひいては信頼性の低下を招きかねません」と述べる。

　Xu CEOも安藤准教授と同様に、IoTデバイス自体のセキュリティ対策や機能が甘く、PCよりも安全性に欠ける点を指摘する。一方で、既存の企業向けセキュリティ対策もIoTの保護を想定しておらず、20年前からアプローチが変わっていないことに苦言を呈する。

　つまり、既存のセキュリティアーキテクチャは、マルウェアの検知や防御に焦点を当てたもので、汎用化されたプラットフォームが中心の「IT」の世界でしか機能しないというのだ。OSもチップも、アプリケーションも多様なIoTには対応できないというわけである。例えば、監視カメラ向けのセキュリティ対策が、医療機器に適用できるはずがない。

　「スタンフォード大学の協力のもと、IoTに適したセキュリティ対策を研究しました。その結果、IoTのパーソナリティーに着目することを考え出しました。IoTデバイスは基本的にセンサーとして動作するため、通常その通信状態は単純で、極端な変化は起こらない。例えば、監視カメラの場合、指定されたストレージに対して一定量の通信を送り続ける。急に海外サーバや、通常では動画データの送られるはずのない他のIoTデバイスに通信を送ろうとした場合は不正通信だと判断する事ができる」（Xu CEO）

　ZingBoxは、ディープラーニング技術を応用し、さまざまなIoTデバイスを可視化するとともに、そのパーソナリティーを学び、それらを先取りした的確な保護を提供するソリューションだ。サーバにインストールするZingBoxソフトウェアと、ナレッジベースとなるZingBox Cloudによって構成される。個々のIoTデバイスの通常の挙動（=パーソナリティー）を学ぶことで、不審な挙動を未然に防止したり、検知したりできるというわけだ。

ZingBoxは個々のデバイスのコンテキストに基づいた通常時の正常な通信を学習する事ができるため、不正通信時にはその差分から、コネクションが確立する前にリアルタイムで検知し、アラートを上げる事ができる。

　「ZingBoxは、IoTに新しいセキュリティ対策を提供し、信頼性を向上するものです。ZingBox Cloudには、他のユーザーの持つIoTデバイスの情報が集まり、その知見が他のユーザーへ反映されます。情報が集まれば集まるほど、IoTの安全性が向上するソリューションなのです」（Xu CEO）