「安心・安全」なIoTサービスを作れる人材が日本の武器になる:特集:IoT時代のセキュリティログ活用(1)(3/3 ページ)
何度もセキュリティインシデントで痛い経験に遭いながら、セキュリティのベストプラクティスを構築してきたIT業界の「教訓」は、IoTの世界に反映できるのだろうか? 「安心・安全」なIoTサービスを構築するための課題とは? セキュリティ企業のラックに、IoTが抱えるセキュリティ上の課題と対策について聞いた。
「セキュリティの分かるIoT人材」の育成を
このように、最初にどのようなセキュリティリスクがあるかを考えることが、ITの世界と同様、IoTの世界でも欠かせないステップであるということには、渥美氏も同意し、「まず、サービス企画の段階でセキュリティリスクを考え、それに応じてどのようなログをとるかを検討すべきだ。IoTの世界ではとにかくデバイスの数が多く、その種類もまちまちだ。サービスごとに、どのようなリスクが生じるかが全く異なってくるため、デバイス本体はもちろん、それらとつながるクラウド上のソフトウェアやスマートフォンのアプリなど、さまざまな角度からリスクを事前に考えておく必要がある」と指摘した。
その上で、どんなログを収集し、どのような方法で管理・分析するかを考えることになるが、そこにはIoT特有の課題もある。「IoTの世界では、セキュリティだけでなくセーフティも考慮しなければならないケースがある。例えば、アクチュエータの付いたデバイスは人を傷つける恐れがあるため、機械的な監視だけでなく人の目で見て監視することも検討する必要がある。そういった意味でも、IoTセキュリティはまだまだ研究が必要な分野だといえる」(渥美氏)。
また、ITの世界と“ものづくり”の世界では、スピード感が異なるという課題もある。製造業の世界では、企画が立ち上がり、詳細設計を進めて製品を形にするまでに、ときには数年単位のスパンでプロジェクトが進められることがあるが、「その間にサイバーセキュリティの事情はどんどん変わってくる」と渥美氏は指摘し、「恐らく今の時点で、2020年に向けた車やデバイスが設計されているが、これらの機器がリリースされたとき、どこまで最新の脅威に対応できるかが課題だ」と述べる。
これに対する1つの解決策は、「プログラムの世界で、設計段階からセキュリティを考慮するのと同じように、IoTでも設計段階からセキュリティをケアできるよう、セキュリティの分かるIoT技術者を増やすこと」(渥美氏)だという。
とはいえ、残念ながら、ITシステムの世界でも全ての分野でセキュリティへの理解が浸透しているとは言い難い。渥美氏は、「高校や大学でプログラミングについて教えるとき、例えば『引数のチェック』といった基本的な事項についてすら言及しないことがある。こうした教育を受けた人がそのまま技術者になって、上長からのチェックもないままに仕事をしていくと、“バッファオーバーフロー”が再生産されることになる」と述べ、「単に『プログラムが書ければいい』『動けばいい』ではなく、セキュリティも考慮したコーディングができるようなカリキュラムを実施し、セキュリティが分かる技術者を増やしていく必要がある」と強調した。「IoTの初心者向け書籍にも、ぜひセキュリティに関する記述を加えてほしい」(渥美氏)。
高速鉄道システムも1つの例だが、日本のものづくりにおいては、「安心・安全」を含む品質が差別化のポイントになってきた。同じようにIoTの世界でも、「安心・安全」という付加価値を加えることで、優位性が発揮できるのではないだろうか。そのために、セキュリティの分かる技術者が一層求められている。
特集:IoT時代のセキュリティログ活用
IoTセキュリティというと、「モノ」、すなわちデバイス側のセキュリティ対策を想像する方が多いかもしれない。しかし、当然のことながらIoTセキュリティは、デバイスに対策を組み込むだけで終わるものではない。例えば“サービス層”において、無数のデバイスの状態を把握し、異常や攻撃の発生をいち早く検知することも必要となる。そのためには、デバイスから送られてくる「ログ」などのデータを迅速に分析する仕組みが欠かせない。本特集では、IoT時代に必要な「ログ活用」のための実践的な情報を提供する。
Copyright © ITmedia, Inc. All Rights Reserved.