2020年の年頭にあたり、デジサートは年頭所感として、以下を発表した。

IoT、デジタル変革を巡る2020年の予測

新年明けましておめでとうございます。

昨年は一層のご愛顧を賜り、厚く御礼申し上げます。

1年のこの時期、友人や家族、同僚、顧客、パートナーと何度も年末年始のあいさつを交わすことになるでしょう。そして、2020年にどんなことが起こるのか、あれこれ考えを巡らせるでしょう。いくつか予想を立てる人もいるかも知れません。

現在サイバーセキュリティの世界では興味深いことが起こっています。Googleが量子超越性を主張、英国の総選挙期間中に労働党を狙った2つのサイバー攻撃、中小企業を標的とする攻撃の増加、ランサムウェアによって病院での診療に支障をきたし、多くの国がIoTセキュリティ関連の規制策定を進め、刑事事件に関連したデバイスの暗号化を巡る政府とテクノロジー企業との対立、等々...と枚挙にいとまがありません。間違いなく2020年は興味深い年になるはずです。

IoT

セキュリティ

ハッカーたちは引き続きコンシューマーIoT機器の脆弱性を見つけるでしょう。開発段階でセキュリティが最優先になっていないからです。これに対して産業IoTのセキュリティは改善されつつあります。特に自動車、SCADA、ヘルスケア等の基幹システムではこうした課題と正面から取り組んでいくことになるでしょう

2020年のIoTセキュリティに関するその他の予測

  • 調達要件書が一層重視されるようになり、企業はIoT機器メーカーに対して機器のセキュリティに対する保証を要求するようになります。
  • 接続性が急速に拡大し、遠隔医療やIoT機器が患者の診療に組み込まれるようになることで、医療機器のセキュリティ向上が強力に進められるでしょう。
  • デバイスメーカーやコンソーシアムは、主要産業から拡張性の高い公開鍵暗号基盤(PKI)によってIoTデバイスのセキュリティを確保する方法を学び、PKIの採用によってコネクテッドデバイスの認証、暗号化、完全性を向上させるでしょう。企業は自前のPKIではうまくいかないことが分かり、有力な第三者のエキスパート/CAからの提供を求めるようになるでしょう。

法規制

IoT機器に対して、2020年にはますます多くのグローバル規制が課せられることになるでしょう。すでに英国で義務付けられているようなラベル制度など、より厳格なセキュリティ保護を要求する消費者の声がこうした傾向を後押しするでしょう。政府主導の規制を避けようと、ドイツ、英国、韓国、日本、米国など多数の国では業界が結束し、業界内でIoT製品のセキュリティ基準を設置する動きを見せるでしょう。

日本や英国、米国といった市場では、IoT関連の規制が進みつつあります。法整備に向けた各国の動きは次のような状況です。

  • 日本:2020年夏に開催されるオリンピック期間中のサイバーセキュリティ脅威に備え、日本政府は一般市民が使用するIoT機器への侵入調査を可能にする法案を通過させました。政府は国内のインターネットサービスプロバイダー(ISP)と連携して、製品のデフォルト認証情報を利用して何百万というデバイスに侵入を試み、デフォルト認証情報を変更していない所有者に対し、サイバー攻撃に悪用される恐れがあることの注意喚起を行います。
  • 英国:2018年に世界に先駆けて、デフォルトパスワードを使用しない等を含めたIoTセキュリティガイドラインに署名しました。さらに最近ではメーカーに製品にセキュリティを組み込むことを義務付ける新たな法規制を導入する計画も発表しています。
  • 米国:Forbesの記事によれば、「他国に比べて連邦政府がIoTの法規制にそれほど積極的な姿勢を見せていない一方、カリフォルニア州はいち早く州内で販売されるIoT製品の規制に動いて」います。カリフォルニア州の法律では、デバイスとそこに保存された情報を保護するためのセキュリティ機能をデバイスに搭載することを求めています。巨大市場を抱えるカリフォルニア州のこうした姿勢がデバイスメーカーを大きく動かすことになっています。

拡張性と証明書ベースのセキュリティ

自前のPKIを運用もしくはグローバルなIoTの導入に小規模なプライベートCAで対応しようとする企業の多くが、規模の拡張が困難であることに気が付き、拡張性の問題に直面することになるでしょう。この問題を解消するため、メーカーは実証済みのパブリックCAに移行するようになります。パブリックCAはこうした動きに応えて、より堅牢なIoTやプライベートトラスト、ソリューションの開発あるいは獲得によって、増大するIoTセキュリティへの要請に応えていくことになるでしょう。

TLS(Transport Layer Security)の証明書に関しては、有効期間が短縮されることになれば企業は証明書の管理を容易にするために自動化を導入し始めるでしょう。

暗号化

量子コンピュータ

ビットを使う従来のコンピュータに対し、量子ビット(キュービット)を用いる量子コンピュータは、複雑な計算を順次行うのではなく同時に行えるため、高速に結果を出すことができます。医学や素粒子物理学、機械学習への応用が期待されており、この分野における研究には多大な関心-と資金-が集まっています。2020年には量子コンピュータによって重要な経済の問題が解消されると予想しており、そのことによって量子コンピュータの開発や投資は加速する一方になると考えられます。さらに現在から今後にかけて拡大する投資を保護する必要性が一層高まり、ポスト量子暗号に対する認知度も高まるでしょう。

そうした高度なコンピューティングパワーはサイバー犯罪者にとって大きな魅力となる可能性があります。IT部門の意思決定者を対象とする調査では、回答者の55%が量子コンピュータを「極めて大きな」もしくは「かなり大きな」現在の脅威ととらえており、71%が将来の「極めて大きな」もしくは「かなり大きな」脅威になると考えています。50%の回答者が、2020年には量子コンピュータが既存の暗号アルゴリズムを打ち破る段階まで進化すると確信しています。

こうした動きに遅れないよう、業界は暗号アルゴリズムを強化しなければなりません。ハイブリッドのデジタル証明書に対する注目度も高まるでしょう。米国国立標準技術研究所(NIST)では2022年から2024年までの間にこうした課題に対処できるポスト量子暗号(PQC)アルゴリズムの標準化を行う予定であり、これが実現すれば世界的に導入の動きが始まるでしょう。すでに自前の暗号化システムを開発し、暗号の敏捷性(cryptographic agility)を強化している企業であれば、容易に導入できるはずですが、そうでなければ簡単ではないかも知れません。

2020年にデジタルトランスフォーメーションのどのようなトレンドが出現するのかは、やがてわかることですが、セキュリティが同様に進化し、満足できるものになることを願っています。本年が日本の皆様、及び企業の皆様にとり、より安全で実り多く良い年となるよう、心よりお祈り申し上げます。