IoT時代の幕開けとサイバーセキュリティ
PDF版はこちら 
あらゆるものがインターネットに接続し、接続したもの同士がつながるIoT: Internet of things。高速・大容量かつ多接続、低遅延を実現する5Gの実用化と低消費電力で長距離通信が可能なLPWAの普及でいよいよ本格的なIoT時代に突入するといわれている現在、メーカーの多くが自社製品のIoT化にしのぎを削っています。これまで本ニュースレターで取り上げたコネクテッドカーも、その実用例であるeCallもいうなれば自動車のIoT化です。いまやインターネットに接続しているのはルーターなどのネットワーク機器やサーバー、PC、モバイル端末などのコンピュータ機器にとどまらず、デジタル家電や自動車はもちろん、センサーさえ取り付けることができればその対象は無限に広がります。このように私たちの身近で急速に進行するIoT化が利便性の向上や業務の効率化、新しいビジネスの創出といった恩恵をもたらす一方、直面する最大の課題がサイバーセキュリティです。
■ 激化するサイバー攻撃と狙われやすいIoT
連日のように報道され日常茶飯事となりつつあるサイバー攻撃ですが、初期の自己顕示を目的とした愉快犯によるものから次第にビジネス・政治色の強い組織犯罪へと変貌するに伴い、手口も巧妙化する傾向にあります。特に2010年以降主流となったいわゆる目立たない攻撃は、それまでのすぐに攻撃に気づき対策を講じることが可能だった目立つ攻撃とは違い、攻撃発覚の遅れが被害の拡大・長期化を招き、事態をより深刻にしています。
こうした高度かつ悪質なサイバー攻撃が標的として狙うのがほかならぬIoTです。2017年の1年間に観測されたサイバー攻撃の総パケット数は約1504億個と2013年の約128億の11倍超、そしてサイバー攻撃の実に半数以上がIoT機器を対象としていたことが、情報通信研究機構(NICT)の調査で明らかになっています。なぜIoTがサイバー攻撃として狙われやすいのか。総務省はその理由として以下のIoT機器特有の性質を挙げています。
- 脅威の影響範囲・影響度合いが大きい
- IoT機器のライフサイクルが長い
- IoT機器に対する監視が行き届きにくい
- IoT機器側とネットワーク側の環境や特性の相互理解が不十分である
- IoT機器の機能・性能が限られている
- 開発者が想定していなかった接続が行われる可能性がある
さらに厄介なことにIoT自体がサイバー攻撃の標的になるだけでなく、その脆弱性を突いて第三者に侵入され他のデバイスやシステムへの不正アクセスや迷惑メール送信などの中継に悪用される踏み台になるケースもあります。
■ CIAからCIA+S(安全性)への転換
従来のITシステムを対象とした情報セキュリティにはCIAと呼ばれる、OECDが定義した3つの要素があります。
- C(Confidentiality:機密性)
アクセスを許可された者だけが情報にアクセスできることを確実にすること。
- I(Integrity:完全性)
情報および処理方法が完全かつ確実であることを保護すること。
- A(Availability:可用性)
許可された者が必要な際に情報および関連資産にアクセスできることを確実にすること。
しかしながら、この情報セキュリティ3要素をそのままIoTのセキュリティへのアプローチに適用できるわけではありません。攻撃されたIoT機器が誤作動・停止すれば物理的に大きな影響を与え、場合によっては人命が危険にさらされる可能性が考慮されておらず、IoTを取り巻く事情に十分に対応しているとはいい難いからです。今後IoT化の進展が見込まれる3つの分野「自動車・輸送機器」・「医療」・「産業用途(工場、インフラ、物流)」のようにとりわけ人命に直結する領域では、安全性(Safety)が何よりも優先されます。この安全性こそCIAと並んでIoTのセキュリティを支える柱であり、もっとも重要な要素といえます。そして安全かつ継続して稼働することが求められるIoTのセキュリティではCIAの中でA(Availability:可用性)の重要度が高くなる点も、資産である情報を守る特性ゆえ機密性をとくに重視する情報セキュリティと大きく異なります。
■ IoTのサイバーセキュリティ対策
日々激化するサイバー攻撃からIoTを防御する有効な手立てにはどんなものがあるのでしょうか。効果的な取り組みとして推奨されているものにセキュリティ・バイ・デザインの導入とPSIRT(Product Security Incident Team)の設置が挙げられます。
(1) セキュリティ・バイ・デザイン
ややもすると後回しにされやすいセキュリティ対策を製品の企画・設計段階から組み込むことでIoTの安全性を確保するというのがセキュリティ・バイ・デザインのコンセプトになります。内閣サイバーセキュリティセンターは「安全なIoTシステムのためのセキュリティに関する一般的枠組」の中でIoTはセキュリティ・バイ・デザインで設計・構築・運用することが不可欠とし、セキュリティ・バイ・デザインの積極的な導入を提唱しています。
長らくITシステムの現場では、直接利益につながりづらいセキュリティはコストを理由にその対策の実施が後手に回る傾向がありました。しかし実際には実施のタイミングが工程の後半になるほど対策コストが高くなることが明らかになっています。情報処理推進機構(IPA)の試算によると、設計時のセキュリティ対策コストを1とした場合、運用時にはその100倍にも上ります。(図1参照)セキュリティ・バイ・デザインを導入すれば手戻りが減り納期を短縮できるため結果としてコスト面でも効果を得られます。
出典:情報処理推進機構「セキュリティ・バイ・デザイン入門」(ET/IoT2016 プレゼン資料)
(2) PSIRT(Product Security Incident Team)
社内システムがサイバー攻撃を受けた際インシデントに対応する経営層も含めた社内横断的組織CSIRT(Computer Security Incident Team)は、すでに多くの企業で設置されています。その製品版がPSIRT(Product Security Incident Team)で、出荷後の製品のインシデントの原因究明や再発防止策の策定を行います。製品の出荷前にどんなに万全を期しても完成品に不具合すなわち脆弱性はつきものです。IoT製品同士の接続で新たな脆弱性が生まれる懸念もあります。またユーザが限定される社内システムとは違い、年齢層やITリテラシー、セキュリティへの意識のレベルがさまざまなユーザが利用するIoTでは想定しない場所で想定しない場面で想定しない接続が行われる可能性を十分に考慮した対応が求められるため、PSIRTが期待される役割は大きいといえます。
■ 規制強化と個人情報保護への取り組み
IoTを日本国外で展開する上で視野に入れなくてはならないのが各国における規制強化の動向です。IoTの隆盛に伴うサイバーリスク増大を背景に、各国はセキュリティ強化を国家戦略上の重要な課題として位置づけ規制強化と法整備に乗り出しています。氏名や生年月日、住所のほかウェアラブル端末には欠かせない位置情報や利用履歴など個人情報を収集・活用することの多いIoTには、各国での個人情報保護への取り組みも大いに関係してきます。
折しもつい先日1月22日に日本とEUの間で個人情報を移転する枠組みが1月23日に発効すると発表があったばかりですが、これにより日本企業は法的契約を個別に結ぶことなくEUから個人情報を移転することが可能となり、また懸念されていた巨額の制裁金を科されるリスクも軽減できるとみられています。ただし引き続きGDPR(General Data Protection Regulation: EU一般データ保護規則)の個人データの「処理」に関する義務の履行が求められ、EUの十分性認定を受けていない、つまり個人データ保護の水準が十分とEUに認められていない国で展開する日系企業がEU域内の個人データを扱う場合もGDPRに準じた厳格な対応をする必要があります。
■ 今後の課題
IoT製品は一般的に設計・開発から市場投入までの期間が短いため、セキュリティ対策の重要性を十分認識していても社内から理解を得られず、セキュリティを施す時間をなかなか確保できないジレンマを抱える現場も数多くあるかと思われます。セキュリティの確保なくしてIoTのビジネスを継続できないことへの理解を全社的に共有し、まずは社内全体のセキュリティへの意識向上を高めるのがサイバーセキュリティ実現への一歩になるのかもしれません。いずれにしても実効性のあるセキュリティ対策を策定し確実に実現できるよう体制やルールの整備が急がれます。
■ ビューローベリタスの取り組み
IoT機器に対して様々なセキュリティー診断を行うONWARD SECURITY CORPORATION(本社:台湾)と、パートナーシップを結びました。
これによりサイバーセキュリティに関する分野でさまざまなサービスのご提供が可能です。
- IoT Security Assessment Service
マニュアル試験により、御社製品のセキュリティ試験サービスを提供いたします。
- セキュリティ製品
ONWARD SECURITY CORPORATIONが開発したセキュリティ製品(SecFlow/SecDevice)により、セキュリティ情報管理およびセキュリティ試験が可能となります。
消費財検査部門 EAW事業部 小倉 富規子
|
ビューローベリタスのサービス: