NTTコミュニケーションズは2016年7月20日、情報セキュリティ業界動向に関する説明会を開催した。
同社でセキュリティ・エバンジェリストを務める小山覚氏が2016年以降のキーワードとして挙げたのは「IoTセキュリティ」だ。総務省と経済産業省が共同で取りまとめ7月に発表した「IoTセキュリティガイドライン」の内容を紹介しながら、対策のポイントを解説した。
NTTコミュニケーションズ セキュリティ・エバンジェリストの小山覚氏
IoTの普及によって高まるリスクとして同氏が指摘するのは「脆弱な機器を踏み台にした攻撃への対処が課題になる」ことだ。現在でも家庭用のブロードバンドルーター等を踏み台とした攻撃が増加しているが、ネットワークに接続され、かつ管理の行き届かないデバイスが増加することによって「これが爆発的に増える」と予測する。
直接攻撃やメール・Web経由の攻撃に比べ、踏み台攻撃は
通信の秘密にも配慮した防御・対策が求められるため、対策が難しいという
家電やビル管理システムなど、これまではネットワーク化されておらず、またPCやスマートフォンに比べて利用期間が長いデバイス/システムがIoT時代には急増する。それらが、ファームウェアのアップデート等もなされず脆弱性を抱えたまま使用し続けられれば、サイバー攻撃を仕掛ける側にとって利用しやすい踏み台が世の中に溢れることになる。小山氏は「IoT機器は10年以上、ビル管理システムは設計から使いはじめるまで5年、その後30年使われる。これまではセキュリティの概念がなかったそうした機器が、ネットワークに接続され続けることが想定される」と話す。
もう1つ、PC/スマートデバイスと異なるIoT特有のリスクとして同氏が指摘したのが、「脅威の影響範囲、影響度合いが大きい」ことだ。
IoTでは、収集したデータがさまざまなシステムで再利用されるため、影響範囲は必然的に広くなる。また、PCやスマートフォンに対する攻撃は基本的にそのデバイス内のデータがターゲットとなるが、スマートメーターの情報が漏洩した場合、その家庭の電気使用状況から生活パターンが割り出され、攻撃者に留守の時間帯も把握されてしまうといった危険性もある。
IoTセキュリティのコストは誰がもつ?
小山氏も策定に関わったIoTセキュリティガイドラインでは、IoTの普及によって増大すると考えられるこうしたリスクの数々を想定して、対処方法をまとめている。IoTサービスの設計段階から保守運用までのライフサイクル全般にわたってセキュリティ対策を盛り込むことが重要だと同氏は強調した。
IoTセキュリティガイドラインの5つの指針
(総務省「IoTセキュリティガイドライン ver1.0概要」より)
IoTセキュリティガイドラインでは上画像のように、「方針」「分析」「設計」「構築・接続」「運用・保守」の5つに分けて指針を定めている。小山氏は通信事業者の立場から特に、運用・保守を重要なポイントとして挙げた。IoT機器/サービスの出荷・リリース後も安全な状態を維持するには、リスクを把握しユーザーに通知すること、脆弱な機器を把握し適切な注意喚起を行うことが重要になるが、「これを誰のコストで行うのか。社会システムとして実現していかなければならない」と話した。
このコスト負担の問題については「海外を見ても議論は始まったばかり。むしろ日本が半歩先んじている状態」とも同氏は話す。健全なIoT市場の成長に向けて、今後議論が進むことが期待される。