デジサートジャパンは10月28日、都内でIoTセキュリティに関する記者説明会を開催した。
同社では、TLS/SSL、IoT、そのほか公開鍵インフラストラクチャ(PKI)ソリューションを提供している。冒頭、米Digicert VP of IoT Security(IoTセキュリティ担当副社長)のマイク・ネルソン氏は「IoTデバイスは『デバイス認証』『データ暗号化』『データの完全性』の3つの課題を抱えている。IoT関連では、これまでにも自動車やペースメーカーのハッキングに加え、WannaCryなどが挙げられる」と指摘。
-
米Digicert VP of IoT Security(IoTセキュリティ担当副社長)のマイク・ネルソン氏
-
デジサートの事業概要
ネルソン氏は情報通信研究機構(NICT)の調査結果を引き合いに出し、日本では3年間でサイバー攻撃が約4倍に増加し、うち48%がIoTデバイスを標的にしていることに関して、警鐘を鳴らす。また、直近のオリンピック夏季・冬季大会において数多くの攻撃を受けていることから、来年に東京オリンピック・パラリンピックに対する脅威はますます高まっているとの認識を示した。
一方、日本政府のIoTセキュリティに関する取り組みとして、2016年に経済産業省がIoTセキュリティのガイドライン作成に加え、今年4月にはサイバー・フィジカル・セキュリティ対策 フレームワークを発表。また、総務省では同2月にNICTと共同で脆弱なIoTデバイスを調査し、問題をユーザーに警告するために「NOTICE」プロジェクトを開始している。
また、同省では来年4月に販売されるすべてのIoTデバイスが遵守すべき電気通信事業法および関連する法令を改正すると発表し、IDおよびパスワード認証によるアクセス制御や出荷時の初期パスワード更新通知、ソフトウェア更新機能などを義務付けている。
-
日本政府におけるIoTセキュリティの取り組み
このような状況において、同社のIoTセキュリティソリューションはPKIをベースとしており、デバイス認証、データ暗号化、デバイスの完全性を担保するという。
具体的には、デバイス認証についてはすべての接続に対する相互認証、デバイスへのIDの適用に加え、データ暗号化に関しては転送中の休止中、処理中のデータなどが含まれる。デバイスの完全性ではコード署名によるデバイスを起動させるブートコードの改ざん検知や、アップデートデータの完全性確認後のインストールなどを可能としている。
-
IoTセキュリティソリューションの概要
ケーブル技術基盤の整備とケーブル利用者へのサービス向上のために設立された団体であるCable Labsや、次世代の航空通信システムのAeroMACSなどはPKIを利用する大規模なIoTコンソーシアムだという。
さらに、事例も紹介された。Data I/Oとはマイクロチップ、マイクコントローラー、そのほかのシリコンデバイスの組み込みセキュリティに証明書を供給するために協業している。デジサートのPKI PlatformとData I/Oのプロビジョニングシステムの統合で実現し、どのような規模のIoTデバイス製造においても証明書を利用した認証、暗号、完全性の保護を製造ラインから実装できるようにするという。
-
Data I/Oとの取り組み
そのほか、最近の量子コンピューターの状況を鑑みて行った調査では、2022年には現在普及している暗号手法が危うくなると考えられているという。そこで、同社ではポスト量子暗号に向けた活動としてマイクロソフト、ジェムアルト、ISARAとの研究開発に加え、市場調査を主導しているほか、今後日本においてテストキットのリリースを検討している。
-
量子コンピュータへの取り組み
ネルソン氏は「メーカーはセキュリティの向上に取り組んでいるが、まだ長い道のりだ。セキュリティを製品開発段階から組み込みことが重要だ。攻撃を受けて対処するコストを考えれば現在の段階で対策を講じれば、コストを抑制できる」と述べた。
そして、デジサート・ジャパン カントリーマネージャーの平岩義正氏は「日本市場ではクラウドが普及し、クラウドベースの多様なサービスとの連携に加え、キャッシュレス、電子契約、ペーパレス、働き方改革、IoTデバイスの普及と、つながる世界において安全性が問われる局面と利便性の向上が相まみえて進化していくものと考えている。インターネット時代からIoT時代、Society 5.0という時代の流れの中で、われわれのサービスをどのように提供していくのか、そしてどのように世の中を安全にしていくかがチャレンジになる」と、強調していた。
-
デジサート・ジャパン カントリーマネージャーの平岩義正氏
