何度もセキュリティインシデントで痛い経験に遭いながら、セキュリティのベストプラクティスを構築してきたIT業界の「教訓」は、IoTの世界に反映できるのだろうか? 「安心・安全」なIoTサービスを構築するための課題とは? セキュリティ企業のラックに、IoTが抱えるセキュリティ上の課題と対策について聞いた。
これまで単独で動作していたさまざまな機器やセンサーが、ネットワークを介して互いに情報をやりとりし、ときに協調動作する「IoT (Internet of Things)」は、確実に大きなトレンドとなっている。
ハードウェア価格の下落や、「Raspberry Pi」に代表される小型コンピュータの登場、そして手軽に入手できる入門書の普及なども相まって、IoTの世界へのハードルは大きく下がっている。また、「機器を効率的に使いたい」「家電やデバイスを集中管理したい」というIT以外の業界からの要求も後押しとなり、手軽にIoT向けのサービスを構築できる環境がいきおい整いつつある。
だが、ここで見落してはいけない問題がある。「サイバーセキュリティリスク」だ。手軽にIoT機器を使ったサービスを構築できる環境が整い始めている一方で、外部からのサイバー攻撃のリスクなど、セキュリティはどうしても度外視されがちだ。迅速に構築したそのサービスは、本当に「安心・安全」だといえるだろうか?
これまで、ITの世界では、「マルウェア感染」や「アプリケーションの脆弱(ぜいじゃく)性を突いた不正アクセス」による情報漏えいといった度重なる被害に遭ってきた反省から、「脆弱性の修正」「認証とアクセス制御」「ネットワークの分離」「ログの収集と監視」といったベストプラクティスの重要性が認識されてきた。IT業界が蓄えてきたこれらのノウハウを、IoTの世界で生かすことはできるのだろうか?
本特集では、主にIoTのサービスレイヤーにおける「ログ活用」にフォーカスしながら、IoTが抱えるセキュリティ上の課題とその対策について考えていく。初回となる今回は、セキュリティ企業のラックに、IoT時代のセキュリティリスクと、その対策について尋ねた。
ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所 リサーチャーの渥美清隆氏は始めに、「IoTサービスの構築はますます手軽になってきているが、作ったサービスが“外部から狙われる”リスクがあることを忘れてはならない」と警鐘を鳴らす。同氏によれば、「従来『セーフティ』の観点から品質管理に取り組んできた企業などの場合は、IoTの『セキュリティ』に関しても注意深くケアを行っていることが多いが、一部のスタートアップなどでは、“セーフティすら考慮していない”ケースもある」のだという。さまざまなサービスを自在に展開できるIoTの世界だが、“防御面”もおろそかにしてはいけない。
そもそも、一口にIoTと言っても、単機能のセンサーやマイコンのような小さな機器を搭載したデバイスから、OSが搭載される複雑なコンピュータに至るまで、用いられる機器はさまざまだ。従って、ITの世界と同様に、「この対策さえ実施すれば大丈夫」というような万能薬は存在しない。では、IoTのセキュリティにおいて、最低限考慮すべき事項とは何なのだろうか?
まず注意すべきなのは、機器に搭載されるソフトウェアの脆弱性への対応だ。渥美氏は「現状のIoTサービスなどでは、OSやその上に搭載されるパッケージソフトをアップデートし、管理する仕組みが存在せず、結果として脆弱性の管理が全くできていないケースが見受けられる」と指摘する。
ITの世界においては、今でこそ「ソフトウェアを最新版に更新し、脆弱性を修正すること」がセキュリティ対策の基本であるという認識が広まっているが、その認識が広く浸透するまでには長い時間がかかった。ときにはユーザーからの反発を受けながら、ソフトウェア更新やセキュリティパッチの重要性に関する啓発活動などを続け、徐々にソフトウェアを定期的に更新するための仕組みを整えてきたという経緯がある。
片やIoTの世界はどうだろうか? 「自動車では、ユーザー登録を法律的に義務付けており、メーカーがユーザーにリーチできるが、低価格なデバイスではなかなかそうもいかない。メーカーは誰が製品を持っているのか分からず、セキュリティ上の問題をアップデートで修正できない。また、例えばルーターのように、通信事業者側が利用者を把握していても、法律上の制限があってアプローチできないケースもある」と渥美氏は述べ、IoTの世界でも、アップデートによる脆弱性修正の仕組みをまず構築することが求められるとした。
また、IoTの世界では、ITの世界よりも機器のライフサイクルが長期化しがちな点にも注意が必要だ。「きちんと引き継ぎができてサービスの継承ができるソフトウェアを実装するのは難しく、大きな課題となる」(渥美氏)。
その上、機器の数も桁違いに増える。これらの機器を全てOSごとアップデートするとなると、相応のコストが必要になる。「身近なところでは、POSシステムやATMにも汎用OSが使われているが、そうした機器のOSがサポート終了を迎えた場合にどうするのかは、企業の経営方針に関わる課題になるだろう。セキュリティ上の寿命が来た時点で評価価格をゼロにするといった具合に、少なくとも税務上の評価に関しては、工夫の余地があるのではないか」と渥美氏は提唱する。
Copyright © ITmedia, Inc. All Rights Reserved.