情報通信機器だけではなく、自動車や家電に通信端末を組み込み、相互接続することで新たな価値やサービスを提供する「物のインターネット」(Internet of Things:IoT)。同市場は現在、急速に拡大している。米国の調査会社であるGartnerが2013年11月に発表したIoT市場予測によると、対応機器は2020年までに260億台となり、その経済効果は1兆9000億ドルに達するという。
|
|
|
米国シマンテックでセキュリティ・レスポンス担当ディレクターを務めるKevin Haley(ケビン・ヘイリー)氏 |
しかし、セキュリティの観点から見ると、IoTには多くの課題がある。米国シマンテックでセキュリティ・レスポンス担当ディレクターを務めるKevin Haley(ケビン・ヘイリー)氏は、「『Internet of Things』は『Internet of Vulnerabilities』(脆弱性のインターネット)になりかねない」と警鐘を鳴らす。「RSA Conference 2014」に参加した同氏に、IoTを取り巻くセキュリティの脅威トレンドについて聞いた。
――自動車メーカーや家電メーカーは、IoTのセキュリティ・リスクをどのように捉えているのか。
Haley氏 : すでに車載の組み込みOSがハッキングされたり、カメラ機能を乗っ取られて画像が盗まれたりしている例は報告されている。今後、IoTのプラットフォームを狙った攻撃が増加するのは明白であり、(IoTの)製品を提供している企業であれば、セキュリティ・リスクの存在は理解していると考えている。問題は、企業がこうした脅威の及ぶ範囲を把握していないことだ。
現時点においてIoTのプラットフォームは脆弱であり、悪意のあるハッカーを引きつける"磁石"になる可能性があると考えている。すでに多くのセキュリティ研究者が(IoTの)脆弱性が悪用された場合の"事例"を報告している。例えば、赤ちゃんを遠隔から監視するシステムが攻撃され、ネットワークトラフィックがシャットダウンされるといったがあった。
いちばん問題なのは、攻撃に対処する手段が確立されていないことだ。つまり、(IoTの)ソフトウェアに脆弱性が発見されても、それをいち早くユーザーに注意喚起し、セキュリティ更新プログラムを配布する方法が明確になっていない。IoT機器を利用しているユーザーに対し、(PCと同様に)「セキュリティアップデートを実行し、ソフトを最新の状態にしてください」と呼びかけても無理だろう。こうした問題は、利用者ではなく、機器を提供するメーカー側が取り組むべき課題だ。
――そうした状況では、セキュリティ・ベンダーが果たすや役割が大きい。セキュリティ業界ではどのような取り組みを行っているのか。
Haley氏 : もちろん、われわれも今後予想される脅威とその対策について研究している。同市場は世界中から注目されており、各国のジャーナリストからIoTのセキュリティについて聞かれるが、IoT市場全体が始まったばかりだ。残念だが市場が成熟するまで、セキュリティの確保――ソフトウェアのアップデートなど――はユーザーが行う必要がある。
われわれはエンドユーザーに対して『IoTはセキュリティ対策が必要である』と注意喚起するとともに、メーカーと提携し、セキュリティ機能の強化を支援することになるだろう。
――具体的にはどのような製品が考えられるのか。
Haley氏 : 例えば、家庭内のルータをハッキングすれば、そこに接続されている機器をすべてコントロールできる。今のところ実害は報告されていいないが、発生する可能性は大きい。ルータを狙った攻撃であれば、PC側からルータに対してセキュリティ対策を施すことができる。現時点ではその詳細は語れないが、われわれは将来的に(家庭用)ルータに特化したセキュリティ・ソリューションを提供することも考えている。
――組み込みの場合は、ハードウェアベースで「セキュリティ・バイ・デザイン(SBD)」が増えている。今後シマンテックがその役割の一端を担うのか。
Haley氏 : 現時点において詳細は明らかにできないが、そうした取り組みは行っている。これは、われわれに限らず、セキュリティ・ベンダーの多くが取り組んでいるところだ。
