脅威情報の共有をめぐり激論？ 沖縄で初の国際会議：セキュリティ・アディッショナルタイム（4）（2/2 ページ）

2015年11月7日、8日の両日にわたって沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」には、複数の閣僚や企業トップが参加。「サイバーコネクション」「サイバーセキュリティ」「サイバークライム」という三つのトラックに分かれ、議論を交わした。

[高橋睦美，＠IT]

デバイス、そしてデータをどう扱うか——IoTをめぐる多岐にわたる論点

　Cyber3 Conference Okinawa 2015においてもう一つ大きな論点となったのは、Internet of Things（IoT）のセキュリティだ。今後ますます多くのデバイスがインターネットにつながることは確実だが、その過程でどのような問題が起こり得るのだろうか。IoTを取り上げたサイバーコネクションのセッションの中から、いくつか興味深い発言を拾い出してみよう。

　日本経済団体連合会の梶浦敏範氏（情報通信委員会 サイバーセキュリティに関する懇談会 座長）は、「IoT時代が到来すれば、ファクトリーオートメーションや自動車も含め、防御すべき対象は飛躍的に増える。特に重要インフラを構成する機器の防御は重要だ。インフラや制御システムに対する攻撃は、経済活動に対する大きな脅威だととらえている」と述べ、防御側の情報共有やトレーニングの実施、人材育成、国際協力の推進といったさまざまな課題に取り組まねばならないと述べた。

　IoT時代の到来を考えると、まず、PCの世界ですら困難な課題となっている、個々の機器のセキュリティをどのように保つかという問題が立ちふさがる。

　ノキアのセキュリティ・ビジネス・ユニット副社長、ジョゼッペ・タージア氏は「モバイルユーザーのウイルス対策ソフト導入率は14％に過ぎず、まだ意識が低いという現状がある。この問題は今後さらに深刻化するだろう。冷蔵庫のソフトウェアを四半期ごとにアップデートしたり、万単位のデバイスをアップデートしたりするのは現実的ではない。デバイスに任せるのではなく、ネットワーク側で保護していかなければならない」と述べた。

　続くセッションの中で、エフセキュアのサイバーセキュリティアドバイザー、エルーカ・コイフブネン氏も「デバイスの脆弱性管理が課題になるだろう」と述べている。今のところ、強制的にソフトウエアをアップデートするようなモバイルデバイスは存在しないが、車のような機器に対しては、ユーザーの任意によるアップデートが適切なのかどうか、場合によってはリモートからアップデートして防御する仕組みを、サプライチェーン全体として検討すべきではないかという意見を提示した。

　ところで、IoTというとハードウエアやデバイスに目が行きがちだが、実は「データ」こそが鍵を握る。さまざまなデバイスが生成するデータをどうビジネスに活用するかが、成功の可否を握ることになる。

サイバーコネクションのセッションには、「RoBoHoN」を開発したロボ・ガレージの代表取締役社長、高橋智隆氏も参加。ロボットやAIといったイノベーションが、私たちのプライベートなデータをどう扱うべきかという論点も示された

　その肝心のデータをどう設計し、どのようにセキュリティを担保するかも、検討課題の一つだ。インテルの野辺継男氏（戦略企画室チーフ・アドバンスト・サービス・アーキテクト＆ダイレクタ）はテレマティクスソリューションを例に取り、「今後は、IoTで収集したデータを解析した結果が、人を介さず、直接アクチュエータに戻ることになる。ゆえに、正しいデータをどう届けるかが課題だ」と指摘した。

　豊田中央研究所 代表取締役副社長の菊池昇氏は一つの提案として、「動物が何でも口にするわけではないのと同じように、データも全てをうのみにするのではなく、いつ、誰が、なぜ作ったかといったラベル情報を一定のルールに従って確認できる仕組みが必要だと考えている。安全に問題のあるデータにはラベルを付け、データの選別ができるようになれば、デバイスやAIでも安全に取り扱えるようになるのではないか」と述べた。

　こうした技術の検討と同時に、社会的なコンセンサス作りも大きな課題になるだろうというのが、パネル参加者の見方だ。例えば3Dプリンターで作成した機器で事故が起きたとき、製造責任は誰にあるのか。AIのアルゴリズムが何らかのダメージを与えた場合は、誰が責任を持つのか。

　中でも、実現可能性が見えてきた自動運転は、ひとたび事故が起これば大きな社会的影響を及ぼすだろう。

　「車がハッキングされ、人を轢いてしまったときは誰が責任を取るのか？ 歩行者か、それとも運転手か、リセラーか、あるいはメーカーか。ソフトウエアを開発した人なのか、下請けでコードを書いた人なのか。はたまた規制当局に責任があるのか。まだ答えの出ていない問題がたくさんあり、法律面での議論が必要だ」（コイフブネン氏）。菊池氏も「これは産業界だけでなく社会全体の問題であり、何を容認するかについてコンセンサスを作る必要がある」と述べている。

　いずれにせよ、タージア氏が述べる通り「IoTのセキュリティに関するオープンな標準」が求められる時期に来ているだろう。

　慶応義塾大学 環境情報学部長・教授の村井純氏は、インターネットを作り上げてきた経験を踏まえ、「透明性があり、かつオープンな標準によって、相互運用性を保つことが大切だ」と述べた。同氏が懸念しているのは、インターネットやIoTの世界がブラックボックス化し、氷山のように一部しか見えないような状態になってしまうことだ。逆に「これまで産業ごとに垂直にサイロ化してきたものを、水平につなぐチャンスがIoTによって生まれた」という期待もあるとした。

　村井氏は「エンジニアリングの観点からは、暗号化や認証といった技術を用いて注意深く設計することが重要だ。同時に、社会的な信頼をどう形作るかを考えていく必要がある。信頼されるサービスであってはじめてビジネス的に成功を収めることができる。技術と社会、双方のが両輪となることによって信頼が向上するだろう」と述べた。

　Cyber3 Conference Okinawa 2015では他に、2020年の東京オリンピック・パラリンピック大会に向けた取り組みや国家安全保障の一部としてのサイバーセキュリティも議題に上った。

　初開催となったこのカンファレンスを通じて、サイバーセキュリティ強化が重要な課題であり、そのためには情報共有や国際連携を進めていく必要がある、という点についてはコンセンサスが得られた。問題は、具体的な取り組みだ。限られた時間の中で本当の意味でコラボレーションを実現し、常に先を行く攻撃者に負けないスピードで手を打つことができるのか——これからその真価が問われることになるだろう。