M2M/IoTの普及で懸念されるのがセキュリティの確保だ。膨大な数のデバイスがインターネットに接続され、企業や個人の重要な情報が“人を介さない通信”で活発にやり取りされていくなか、M2M/IoTもサイバー攻撃の対象になり得るのだ。

すでに脅威は存在している。米国で行われたハッカーのイベントで、自動車内の車載コンピュータをハッキングして運転能力を奪う方法が暴露されたのは2013年のこと。他にも防犯カメラの映像が盗まれたり、利用者が知らないうちにプライベートな映像がネットに公開されるといった事件が実際に起こっている。

クルマや医療機器が攻撃されれば人の生命が脅かされる事態にもなる。健康関連サービスのデータを盗めば、スマートフォンやPCのデータよりもセンシティブな情報が得られるだろう。こうしたリスクは、M2M/IoTを利用しようとする企業の動きにブレーキをかける要因にもなりかねない。

人が介在しない難しさ

まだM2M/IoTのセキュリティ対策が確立されているわけではないが、現在注目を浴びているものの1つが、PKI（Public Key Infrastructure：公開鍵基盤）による電子証明書だ。

PKIソリューションを提供するサイバートラストでマーケティング本部プロダクトマーケティング部 部長を務める田上利博氏は、「ヘルスケアや自動車業界等のハードメーカーから『対応できるのはPKIしかない』と関心を寄せていただいている」と話す。

（左から）サイバートラスト マーケティング本部 プロダクトマーケティング部 部長の田上利博氏、アイキューブドシステムズ 取締役副社長/CFOの小湊啓爾氏、インテル 法人営業推進本部 シニア・ソリューション・スペシャリストの糀原晃紀氏

M2M/IoTのセキュリティ対策は、PCやスマートデバイスにおける対策とは異なる点がある。基本的には、既存のセキュリティ対策技術と手法を応用することになるが、まず大きく異なるのが、デバイス性能による制限だ。M2M/IoTデバイスはCPUやメモリの性能が低く、搭載できるセキュリティ機能が制限される場合が多い。また、デバイスの種類が非常に多様なことも対策を難しくする。

加えて、人が操作をしないという点も大きな違いだ。利用者は基本的に、デバイス内で動いているソフトウェアや通信に関わらない。セキュリティ管理はデバイス／サービスを提供する事業者側が行うしかなく、予め必要なセキュリティ機能を搭載して提供しなければならない。さらに、一度設置すれば長期間メンテナンスが行われないケースも多い。新たな脅威が発生したからといって、容易にセキュリティ機能をアップデートできないのだ。

こうした点を考慮しつつ、強固なセキュリティ対策をいかに効率的に運用するのか。これがM2M/IoTセキュリティのポイントになる。

最も重要なのが、デバイスとサーバー／クラウド間でデータを送受信する際の個体認証だ。デバイスとそこから得られるデータが“本物”かどうかを確認する対策が必須になる。ここで有効なのがPKI技術だ。電子証明書でデバイスの真偽を確認し、そのうえでアプリケーションが改ざんされていないことを確認するコードサイニング証明（発行元が作成したものであると証明する電子署名）を行い、データはSSL暗号化通信で送る。エンドツーエンドの対策が可能になるのだ。

このPKI技術をM2M/IoT向けに展開することを見据えて新たな取り組みを行おうとしているのが、サイバートラストとインテル、MDMベンダーのアイキューブドシステムズだ。インテル製チップセットの中に証明書と秘密鍵を格納し、マルウェア等の攻撃が及ばない強固なセキュリティの仕組みを作ろうとしている。