昨今、IoTを活用したビジネス機会の創出が話題になる一方、IoTデバイスを踏み台にした大規模なDDoS攻撃が起こった。そこで本誌では、IoTを取り巻くセキュリティの課題をテーマとした特集を組むことにした。
今回は、マカフィー セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザーを務める佐々木弘志氏に話を聞いた。
業界ごとに守るべきものを見極めて
初めに、佐々木氏にIoTをどうとらえているかについて聞いたところ、「IoTは便利なものだから、推進すべきです。さまざまなニュースが報じられていますが、リスクがあるからと、使うのをやめる状況ではないでしょう」という答えが返ってきた。
では、IoTでは何が問題なのか。「IoTは対象の機器や業種など、とにかく広い。また、業界ごとに考慮すべきリスクの意味が異なるので、当然セキュリティの観点から守るものも異なってきます」と佐々木氏。
例えば、電力会社が電力量を計測するスマートメーターの導入を進めている。このスマートメーターが攻撃されたら、電力料金の改竄などの被害が生じるおそれがある。一方、天気予報に必要な情報を収集するための温度センサーが乗っ取られたとしても、天気予報が正確ではないといった被害にとどまるだろう。
ここで考えなければならないのは、スマートメーターと天気予報用のセンサーに同じレベルのセキュリティ対策が必要かということだ。
ご存じのとおり、セキュリティ対策を厚くすればするほど、コストも手間もかかる。佐々木氏は「すべてのデバイスにおいて、可用性、機密性、完全性を確保する必要はありません。標準のフレームワークは必要ですが、それとは別に業界や用途に分けて、セキュリティを考える必要があります」と指摘する。
"野良デバイス"はなくならない、だから事前に対策を打っておく
佐々木氏がIoTセキュリティにおけるもう1つの課題として挙げるのか「野良デバイスへの対処」だ。野良デバイスとは、例えば、一般消費者が利用するようなIoTデバイスを指し、企業で管理されていないデバイスをいう。
佐々木氏は「野良デバイスを完全にブロックしようとすると、業界全体が停滞してしまうでしょう。われわれは『野良デバイスは防ぐことはできない。その代わり、大量の通信を行うなどの不正な挙動をしたら対処する』と考えています。例えば、通信を監視することで、ネットワークやデータセンターで野良デバイスを検知して退場させる仕組みを作っておくという方法があります」と説明する。
それには、通信事業者とIoTデバイス製造業者といった、業界内の協力が必要だという。佐々木氏はさらに「IoTセキュリティについては、ハードウェアとソフトウェアの両面から対策を考えていかなければなりません。チップが改竄されてしまったら、ソフトウェアのセキュリティ対策は意味がなくなります」と指摘する。
また、デバイス、ネットワーク、データセンターだけで守りきれるとは、思っていないという。マカフィーは、セキュリティについてもエンドツーエンドモデルを提唱しているそうだ。
「oTデバイスの防護やネットワーク、データセンターの保護といった、個別のセキュリティ対策だけでなく、それぞれが攻撃を受けるという前提で、早く異常を見つけて、早く対処するために相互に連携を行う対策のことです」と、佐々木氏は言う。
IoTを推進するには、考え方、ヒトも変わっていくべき
海外に並び、日本でもIoT導入の機運が高まっているが、佐々木氏は「日本のIoTは真のIoTとは言えません」と話す。
「IoTとは本来オープンな世界であり、ネットワーク、データセンター、デバイスのシナジーが重要です。しかし、日本のIoTはまだ囲い込みの思想から抜け出ておらず、オープンであるべき『つながり方』をメーカーが作ってしまっています。海外のメーカーの参入も踏まえ、もっとオープンなフレームワークが必要です。そうしないと、フレームワークを海外に持っていくことができません。メーカーやベンダーはフレームワークではなく、その上で勝負すべきでしょう」
そして、こうした思想を脱しないと、「日本においてIoTは広がらないのではないか」と、佐々木氏は危惧する。
一方、IoTを使う側の企業にも思考を変える余地があるという。日本の製造業は生産に関わるデータを外部に出したがらない傾向があるが、海外では違うそうだ。例えば、GEは機器から収集したデータは自社の資産ととらえており、顧客はそのデータを基に予知保全などのサービスをメリットとして享受できると考えているという。
さらに、佐々木氏は「IT側の人間とOT(Operational Technology:運用技術、制御システム) )側の人間の溝も課題」と指摘する。「そもそも、IT側の人間とOT側の人間とでは、システムに対する考え方が違います。したがって、IoTとしてITとOTをつなぐ時、お互いをきちんと理解しておかないと、システムはつながっているのに、人がつながっていないというリスクが生じます。人も"IoT仕様"になっていかないといけないのです」
企業はIoTにどう取り組むべきか?
こうした状況を踏まえ、企業はどのようにIoTに取り組んでいけばよいのだろうか。
佐々木氏は「IoTを利活用する方向で考え、自分たちの会社が何を守るべきか、まずはセキュリティのリスクを明らかにする必要があります。そして、モノを作る前に可能であればセキュリティの対策を講じます。それが難しいようであれば、セキュリティを拡張できる仕組みを作っておくべきです」と話す。
また、先にも述べたように、「野良デバイスは必ず入ってくる」という前提の下、入ってきた時の対処を考えておく必要がある。
さらに、IoTにおけるセキュリティインシデントが発生した時の責任の所在を考えなければならない。ただし、これは世界をまたがる課題であり、現在、世界中のガイドラインなどで検討中だ。しかし、自社のIoTデバイスが踏み台にされて、大規模なDDoS攻撃が引き起こされて、人命に関わるような被害が生じたら、それこそ責任を問われかねない。
佐々木氏は「世界の動向を注視して、自分たちが加害者にならないよう、リスクを回避する必要があります。もはや、IoTセキュリティは経営リスクとなりつつあるのです」と話す。
NISCが「安全なIoTシステムのためのセキュリティに関する一般的枠組」を発表したり、総務省および経済産業省が「IoTセキュリティガイドライン」を発表したりと、国内でもフレームワークの構築が進みつつある。
さまざまな情報を参考にしつつ、安全なIoTの導入に取り組んでいただければと思う。