新年あけましておめでとうございます。
ITSearch+では「2017年新春インタビュー」と題し、「IoT」と「セキュリティ」を軸に、IT専門調査会社「IDC Japan」の担当アナリストにインタビューを行いました。IoTの本質とは何か、セキュリティ対策で次に打つべき手は何かを見出していただければと思います。最後は「IoT&セキュリティ編」です。

企業の守るべきポイントを変えた「ランサムウェア」と「クラウド」

IoTは「フェイル・ファースト」がキモ

IoTの懸念の一つに、セキュリティがある。「セキュリティは成長要因にも阻害要因にもなりうる」と語るのは、IDC Japanソフトウェア&セキュリティ リサーチマネージャーの登坂 恒夫氏だ。大量のセンサーを接続するIoTで懸念すべきポイントは、「データプライバシー」と「システム停止を迫るランサムウェア」と話す。登坂氏にIoTセキュリティの課題を伺った。

――IoTにおけるセキュリティ市場の市場規模やIoTに特化した技術についてお聞かせください

登坂氏 : IoTセキュリティには「IDとアクセス管理」や「ネットワークセキュリティ」「セキュリティと脆弱性管理」、エンドポイントなどの「その他」、そして、ハードコーディングされた暗号化ツールの「物理的なIoTセキュリティ」の、大きく5つに分類されます。基本的には情報セキュリティと同じ捉え方であり、IoTだから特別ということはありませんが、”役割”は変わります。

一つの例がIDアクセス管理で、情報セキュリティは人を対象にアクセス管理、ID管理を行いますが、IoTでは「デバイス」を対象に据えます。また、プロビジョニングも情報セキュリティでは「ユーザー」フォーカスでしたが、デバイスに視点が変わります。このIDアクセス管理が技術的に最も進展しており、デバイスを使わせるための許可、つまり一番最初にやらなければならない部分で、中で動くアプリケーションの許可、アプリケーション間の許可も必要になります。

IoTに関するセキュリティ製品の市場規模については、グローバルにおける年間平均成長率が15~16%となっており、2020年には200億ドル規模になると見込んでいます。

――IoTにおけるセキュリティ課題はどこにあるのでしょうか?

登坂氏 : セキュリティとプライバシーはIoTにおける大命題です。プライバシー面では、個人情報保護法が改定されましたが、日本はとても緩い個人データの取り扱い規定となっています。一方で厳しい規定を課しているのが欧州連合(EU)で、加工されたデータであっても、本人の確認が必要です。

そのため、このデータが土台となってIoTへと発展することを考えると、「プライバシーをきちんと意識して展開しない企業」は、消費者や企業から問題視されます。IoTビジネスを推進するIoTベンダーやサプライヤー、デバイスメーカーなどは、「プライバシーをいかに担保できるか」でビジネスが変わると言っても過言ではありません。

これは決して特定分野のIoTだけの話ではありません。産業向けのIoTやホームオートメーションのようなコンシューマー向けのIoTでも言えることであり、セキュリティの確保とプライバシー保護の両立が重要になります。そのためセキュリティは、「IoTを成長させる面もあるが阻害要因にもなりうる」と言えます。

IoTセキュリティの難所とは?

IoTセキュリティの難しい部分は、「エンドポイントに入力デバイスがない」という点です。情報セキュリティにおけるエンドポイントは、キーボードやマウスが付いています。これをセキュリティ対策の視点から見ると、セキュリティ対策で生じるインストールやアップデートといった作業が、情報セキュリティのようにユーザー側でハンドリングできないことになります。つまり、IoTデバイス上でそれらの行動を行うには「自動的展開機能・仕組み」が必要になります。セキュリティの脆弱性パッチの適用をどうするか、脆弱性管理をどうするかが、大きな問題となっています。

例えば2015年にJeepがハッキングされるという実証実験があったんですが、これはまさに同じ問題です。ファームウェアのアップデートが容易に行えるのであれば問題ありませんが、車のように基本的なコンポーネントをアップデートしなければならないとなると、ユーザー側では対処できません。そうなると「リコールして回収」を行いますが、これは企業に大きな損失を招きます。

IoTのデバイスメーカーなどは、このような脆弱性対策を設計段階で対応しておく必要があります。脆弱性管理の仕組みはあらかじめ組み込む必要があり、後付けでは対応できません。

――そのようなセキュリティの組み込みは実際に行われているのでしょうか?

IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂 恒夫氏

登坂氏 : どのレベルまで、パッチを自動配布、インストールできるかという問題はありますが、工場などではすでにメンテナンスとしてアップデートの仕組みを持ちあわせています。これを、インターネットに繋げて「適切な人や組織からのアクセスか」を監視することが、これからの時代は必要となります。

ただ、仕組みとして展開できる部分、できない部分があり、アップデート失敗によって大問題に発展する可能性が生じます。自動車で言えば、システムが常時起動しているわけではなく、いつ配信するかという問題があるでしょう。

一方で、工場のように24時間稼働しているケースではどうでしょう。脆弱性の対処のためにシステムをアップデートしたいとしても、恐らくは仮想パッチを当てることになります。パッチだけでは不十分となれば、パッチの代わりに不正侵入を防ぐIPS(侵入防止システム)を手前に置く必要もあるでしょう。このように、問題は複雑化するのがIoTセキュリティの難しいところです。

――2016年秋には大量の監視カメラがマルウェアに感染し、ついにIoTセキュリティの懸念が現実のものになったと言われました

登坂氏 : 以前から攻撃は存在してましたが、今回大問題になったのは「規模の面から見て大きかった」ということです。結局、IoTという言葉の通り、すべてがインターネットにつながるのです。情報セキュリティも同じですが、インターネットを道に例えるならば、「高齢者も初心者も通る道」であり、さまざまなレベルの人間が混在しています。当然色んな事故が発生し、問題が起きます。それを「いかに担保して守るか」が重要なんです。

事故の確率は高くはないかもしれない。ですが、起きることを前提とした対策が必要です。そのためには、IoTデバイスメーカー、サプライヤーなどが責任意識を持つ必要があります。

――責任の所在についての議論もあります

登坂氏 : パッチで言えと、IoTにはさまざまなサプライヤーが関与しています。ハードウェアのサプライヤーやソフトウェアのサプライヤー、コンポーネントもそれぞれあります。監視カメラの例では、脆弱性を突いてコマンドが発行されて乗っ取られてしまったわけですが、パッチの提供は誰が責任を持つのかが依然として不明瞭です。

IoTガイドラインとして、セキュリティのガイドラインの第一版(「IoTセキュリティガイドライン ver1.0」)が経済産業省と総務省より出されました。基本はここで決まってくるでしょう。とは言え、あくまでガイドラインであり、これを叩き台として、業界ごとに、展開する事業者同士の連携によって決めた「生きたガイドライン」を利用する必要があります。

なお、IoTガイドラインでは「端末メーカーが責任を持つように」と定めています。デバイスならデバイスメーカー、サプライヤーはサプライヤーに責任がありますが、一体になったソリューションでは部分的に安全でも、全体が安全とは言えないため、問題解決が難しいかもしれません。