ITとIoTのセキュリティ、一文字違いで大違い:今から備えるIoTセキュリティ(1)
大きな期待を集めながら、一方でセキュリティリスクが懸念される「IoT」。IoT特有の事情により、ITの世界におけるセキュリティベストプラクティスをそのまま適用できないこともあります。
「IoT(Internet of Things)」市場への注目が高まっています。ともすればバズワード的に、何でもかんでも「IoT」と称されがちですが、これは一部では当たっています。IoTとは、「何でもかんでも」ネットワークにつなげ、人の手を介在させることなく互いに制御したり、情報を共有したりして、より利便性の高いサービスを実現していこうというコンセプトと表現できるからです。
ですから利用範囲も多岐にわたります。身近なところでは、スマートハウスや家電、車などがあるでしょうし、小売りや流通業ならばPOS端末やATM、製造業ならば流通管理や生産管理といった領域で、効率化やコスト削減、新サービスの創出を後押しするものとして期待されています。さらに、医療システムや交通制御システムなど、専門性の高い分野も含め、ありとあらゆる分野への適用が期待されています。
IDCの調査によると、2014年の国内IoTデバイスの普及台数は5億5700万台で、市場規模は9兆3645億円に達したそうです。それが今後も年間11%を超えるスピードで成長し、2019年には9億5600万台、市場規模は16兆4221億円に達すると予測しています。
と、何もわざわざこのような大きな数字を挙げなくても、身の回りにIoT機器が普及し始めていることは実感できるのではないでしょうか。例えば、インターネット接続機能を備えたテレビをお使いの方も多いことでしょうし、車の位置情報を活用してリアルタイムに情報を提供するサービスも始まっています。先日アップルが販売を開始した「Apple Watch」をはじめとするウェアラブルデバイスも、IoTの一種と捉えることができるでしょう。最も身近なところでは、自宅のインターネット接続環境を提供するルーターもIoTを構成する要素の一つであり、今後果たす役割が拡大すると思われます。
そしてIoTの周囲には、デバイスやセンサー類とつながって制御を行い、収集したデータを基に最適化したサービスを提供するプラットフォームが広がっています。スマートフォンやウェアラブルデバイス、あるいはクラウドサービスやその上のアプリケーションとのつながりによって、大きな可能性が開けると期待されているのです。
机上の空論から現実の脅威に
一方で課題もあります。中でも各社が口をそろて指摘するのがセキュリティに関する懸念です。
IoTの世界は、デバイスと、それらをつなぐ通信経路(ネットワーク)、制御を行うサーバーやクラウドサービスといった要素で構成されています。こうして見ると、既存のITシステムに似通った構成であることがお分かりいただけるでしょう。そしてITシステム同様、IoTを構成するソフトウエアの脆弱性や認証の欠如、通信経路のセキュリティ不備、設定の不備といったリスクが存在するのです。このリスクは、デバイスに汎用OSが搭載され、IoT機器をつなぐネットワークが専用網からオープンなインターネットになったことによって、さらに高まっています。
既にIoTを狙った攻撃もいくつか報告されています。最も衝撃的だったのは、2013年7月に米Forbes誌が公表した、車載システムのハッキング実験でしょう。この実験ではプリウスとエスケープの二車種を対象に、搭載されているソフトウエアをリバースエンジニアリングし、コマンドを送信することでブレーキやハンドルを操作したり、メーター類の表示を変更できることを実証しました。
また同じく2013年以降、Windows OSをベースとしたPOS端末に感染するマルウエアが複数報告されています。このマルウエアは、POS端末のメモリに上からクレジットカード情報を盗み出し、攻撃者に送信してしまうというもので、米国のセキュリティ対策組織であるUS-CERTが注意喚起を行う事態にまで至りました。同様の情報窃取機能を備えたPOSマルウエアは、日本国内でも報告されています。
他に、監視カメラや家庭用ルーターに対する攻撃も報告されています。10年以上前から、「組み込み機器のセキュリティ」として警鐘が鳴らされてきた分野ですが、今やIoTに対する脅威は決して机上の空論ではなく、現実のものになりつつあるのです。
対策に取り組む上で踏まえておきたいITとIoTの違い
搭載するソフトウエア脆弱性や設定の不備、安易なパスワードや暗号化されていないネットワーク経路が狙われるという意味では、IoTも既存のITシステムも同じです。
ですから、「ソフトウエアの脆弱性を検査し、修正する」「不要なサービスは使わず、デフォルト設定のうち不適切なものは変更する」「強固な認証を行う」「通信経路やデータを暗号化する」といった、これまでのセキュリティ上のセオリーを生かしたいところなのですが、IoT特有の事情から、ITの世界のベストプラクティスをそのまま適用できないこともあります。具体的にいくつか挙げてみましょう。
デバイスのリソースが少なく、コストも大きくは掛けられない
まず、PCなどに比べ、一般にIoTのデバイスでは利用できるCPUやメモリなどのリソースが少なく、セキュリティ機構の搭載が難しいことが挙げられます。最近のPCでこそ、暗号化や認証、ウイルススキャンといった処理にかかわる負荷はあまり気にならなくなってきましたが、IoTのデバイスではそうもいきません。省電力、省スペースといった要求が重なればなおさらです。
また、数の多さに伴う課題もあります。中でも大きい要因はコストです。部品やデバイス一つ一つにセキュリティ機構を搭載すれば問題は解決するかもしれませんが、単価は必然的に上がります。一つ一つは小さくても、車のように一つの製品に数百の部品が搭載される場合や、数百万ものデバイスがネットワークにつながって構成されるシステムでは、全体のコストは莫大なものになります。ITの世界でもしばしばセキュリティとコストのバランスの重要性が指摘されますが、IoTの世界ではそれがさらにシビアになるのです。
長く使われる一方でアップデートが困難で、パッチ適用が難しい
使い方にもよりますが、PCなどのデバイスに比べ、IoTのデバイスの平均運用期間は長くなる傾向にあります。中には十年以上にわたって使い続けられるデバイスもあるでしょう。寿命が長くなればなるほど、当初の設計では想定されていなかった脆弱性が見つかる可能性は高くなります。ではアップデートして修正を……となるのでしょうが、その仕掛けが重要です。
また、どのようにセキュリティ問題を告知していくかも課題となるでしょう。今でこそ、PCの世界においてはパッチ適用の重要性が広く認知されるようになりましたが、15年ほど前は、「なぜそんなことをしなくてはいけないのか」と説明して回るだけでもひと苦労でしたし、Windows Updateのような便利な仕組みもありませんでした。
一方IoTのデバイスを利用する人々は、これまで以上に幅広く、従ってリテラシーの水準はこれまで以上にばらばらであると予測できます。中には、目の前にあるIoT機器が事実上のコンピューターであると認識しないまま使う人もあるでしょう。そうした人々にセキュリティアップデートの必要性を認識してもらい、作業してもらうのは非常に困難なプロセスとなります。簡単にアップデートできるような仕組みも必要です。
逆に、利用者の同意があれば、サービス提供者やメーカー側が自動的にアップデートを適用し、更新していくような仕組みが実現できるかもしれません。ネットワークでつながり、機器同士が通信するIoTならではの、安心できる使い方を提案できる可能性があるわけです。ただその場合も、サポート期間をいつまでとするか、法制度上の扱いをどうするかなど、議論すべき点は残りますが。
利用している人が多岐にわたり、連携サービスも広がる可能性がある
前述の通り、IoTの利用者は多岐にわたると予想されます。そしてそうした人々に向けて、さまざまなサービスが展開されると期待されています。
この結果、当初想定していなかったサービスやアプリケーションとIoTデバイスがつながることも十分に考えられますが、そのために思わぬリスクにさらされる恐れもあるのです。セキュリティの世界では、常に弱いところが狙われます。IoTデバイス単体ではセキュリティ対策を講じていても、それが連携するサービスやアプリに脆弱性があれば、そこが糸口となって侵害を受け、情報漏えいや誤作動などにつながる恐れがあるのです。IoTデバイスを開発する側はもちろん、サービスやアプリを開発する側にも、これまで以上にセキュリティへの考慮が求められることになるでしょう。
加えて、IoTの世界では、収集するデータが膨大なものに上ります。そのデータはいったい誰のものになるのか、どのように扱うべきか、プライバシー保護の観点に踏み込んで議論していく必要があるでしょう。
一方で期待もあります。モノ作りの世界ではこれまで長年にわたって、「安心、安全」や「高品質」を実現するためのノウハウや何段にもわたる安全機構が蓄積されてきました。こうしたノウハウをIoTの世界に生かすことによって、新たなビジネスチャンスが生まれるかもしれません。
Copyright © ITmedia, Inc. All Rights Reserved.