「ITシステムはインターネットにつながっていること、不特定多数のユーザーが利用することを前提にしてきた。これに対しIoTの世界では不特定多数の接続先につながることは想定されず、『開発者が想定した使用方法でのみ使用される』という前提で開発されているものが少なくない。それが今、外出先から設定できると楽だとか、スマートフォンから確認できたら便利といった理由から、今までネットにつながっていなかった機器もつながれるようになっている」
IoTセキュリティの現状について、ゼロゼロワンの萩原雄一CEOはこのように語ります。ゼロゼロワンは10月1日に始動したばかりの、IoTセキュリティに特化した新会社です。この会社は、AI・サイバーセキュリティなどの応用研究を行う「ココン技術研究室」で進められてきた、IoT機器の脅威可視化に関する研究開発プロジェクトがスピンアウトしたものだといいます。萩原氏に、設立の背景と狙いを聞きました。
家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。
この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。
過去の連載記事でも、情報通信研究機構(NICT)の調査結果などを基にたびたび取り上げてきましたが、「Mirai」を皮切りに、IoT機器をターゲットにしたマルウェアの勢いはとどまることを知りません。「こうしたマルウェアに感染すると、IoT機器のユーザーが被害者になるだけでなく、自分の意図と関係なく知らず知らずのうちに第三者に対する加害者になることが問題だ」と萩原氏は指摘します。
「ユーザーにとってIoT機器は、いかに簡単に、いかに早く使えるかがポイント。ユーザビリティの面では、煩わしい設定などせず使えることが一番いいことだが、セキュリティ面を重視してパスワードなどの設定を変更するユーザーは少ないのではないか。一方でIoT機器の開発者がセキュリティについて明るくないケースもあるため、結果としてセキュリティリスクが高まるケースもあると考えられる」(萩原氏)
この先、インターネットにつながるIoT機器の数は右肩上がりを続けるでしょう。「IoT機器が普及しきった後に対策しようとしても、おそらく手遅れになる。その前に何とかしないといけないという思いからこの会社を設立した」と萩原氏は述べました。
ココンでは以前から、市販されているIoT機器を購入して設定や脆弱性を確認し、JPCERTコーディネーションセンター(JPCERT/CC)を介して、あるいはベンダーに直接連絡する形で対応を促してきたそうです。新会社のゼロゼロワンでは、メーカーに対するセキュリティコンサルティングサービスを通して、設計・開発段階におけるセキュリティ面でのレビューや診断を行い、開発プロセスの中でより前の段階からセキュリティを組み込むべく支援を行うといいます。
「製品が出来上がった後にセキュリティの問題を見つけても、ラインが動き始めてからでは修正が難しい。もっと前の段階から関わっていく」と萩原氏。いわゆる「セキュアバイデザイン」や「シフトレフト」の考え方を、IoT機器の世界にも適用するものといえそうです。
ただ、IoTの世界にITの常識をそのまま押し付けることはできません。ゼロゼロワンのメンバーには、セキュリティ畑だけでなく組み込み機器の設計や開発に携わってきたメンバーが参加しているため、ハードウェアやネットワークのリソース、部品コストなどさまざまな条件を踏まえ、「IoTや組み込み機器の事情を知った上で、開発者の現実的な目線で実現できることを提案していく」と同氏は述べます。
脅威によっては本当に対処が必要なものもあれば、実現可能性が低く許容しても問題ないものもあります。その辺りも踏まえながら、現状に合わせたやり方を提案していく考えです。
ゼロゼロワンは、2020年6月をめどに、インターネットにつながれたIoT機器の可視化データベース「Karma」(カルマ)も公開する予定です。インターネットに接続されたデバイスを検索対象とした「Shodan」や「Censys」のように、特定のIPアドレスやポートで検索すると、どこにどのようなIoT機器があるか把握できるようにするといいます。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR