自動車、医療機器など製造業の世界にも認証と暗号化、完全性の担保を――証明書事業から見えてくるIoTセキュリティの課題：セキュリティ・アディッショナルタイム（29）

証明書事業を手掛けるDigiCertは年次カンファレンス「DigiCert Security Summit 2019」で認証と暗号化、完全性の担保という3つのセキュリティ対策の重要性を訴えた。

[高橋睦美，＠IT]

　DigiCertは2019年1月31日、米国ラスベガスにおいて年次カンファレンス「DigiCert Security Summit 2019」を開催した。DigiCertのプロダクト担当エグゼクティブバイスプレジデントを務めるジェレミー・ローリー氏は、PKIソリューションをベースに、ネットワーク越しに接続している相手が誰かを確認する「認証」、通信内容を第三者に盗み見られないようにする「暗号化」、そしてデータに改ざんが加えられていないことを照明する「“完全性”の担保」という3つのセキュリティ対策の重要性を強調した。

　DigiCertは、2017年にSymantecのSSL/TLSサーバ証明書発行事業を買収し、PKIや証明書関連ビジネスを幅広く展開している。これは、証明書発行プロセスに疑義があるとして、GoogleがWebブラウザ「Google Chrome」でSymantecが発行した電子証明書を段階的に無効化すると発表したことを受けての措置だ。DigiCertでは、2017年10月に事業を引き継いでから、旧Symantecの証明書からDigiCertが発行する証明書への移行作業を進めており、ほぼ問題なく進展してきたという。

　こうした背景を踏まえてローリー氏は、Webやメール、VPN接続、さらにはドキュメントに対する電子署名やソフトウェアの完全性を担保するコードサイニングなど、証明書が果たす役割はますます拡大していると説明した。

　そして、「証明書の発行や管理、失効管理にまつわる課題として、より自動化して迅速に処理を行いたいというニーズとともに、個別の要件に合わせてカスタマイズしたいという要望も寄せられている。デジサートでは証明書発行プラットフォーム『CertCentral』ファミリー、特に『CertCentral Enterprise』の機能を継続して強化し、より簡単に発行や検証処理を行ったり、きめ細かくコントロールできるようにしたりしていく」と述べた。

CertCentralのデモ画面

IoTの世界にも認証と暗号化、完全性の担保を

DigiCert IoTセキュリティ担当バイスプレジデント マイク・ネルソン氏

　DigiCertが近年力を入れている分野の一つが「IoT」だ。IoTデバイスもインターネットにつながる以上は、ITの世界におけるサーバやPC同様、認証や暗号化、完全性といった要素が不可欠になる。だがIoTの場合、「デバイスの数が増大し続けており拡張性が不可欠な一方で、個々のデバイスで見るとリソースが少なく、自動化する方法にも欠けている」と、DigiCertのIoTセキュリティ担当バイスプレジデントであるマイク・ネルソン氏は述べた。

　「残念ながらメーカーは、他社に先駆けて市場に製品をリリースしたいという理由や、コストを抑えて利益を最大化したいといった幾つかの理由からセキュリティを省いてしまうことがある。しかし、セキュアにできないデバイスは、そもそもインターネットに接続すべきではない。接続されるということはリスクを生み出すことを意味する。製造者はそのリスクに責任を持って対処していく必要がある」（ネルソン氏）

　万一、セキュリティが欠けた状態のデバイスをつないでしまった場合の損失は明らかだ。DigiCertが2018年11月に発表した「IoTセキュリティの現状に関する調査 2018」によると、IoTのセキュリティに起因して発生した金銭的損害や生産性の喪失といった損害額は、過去2年間で約8100万ドルに上るという。

　ネルソン氏は、こうしたIoTセキュリティの課題を解決するには2つのポイントが重要だとした。

　「まずは経営レベルの後押しが必要だ。CEOをはじめとする経営層がセキュリティ問題の重要性に納得し、認証や暗号化、完全性といった適切な対策を採るための予算の確保や支援を行うことが大切だ」（ネルソン氏）

　2つ目は、こうした対策を適切な形で実装する方法をエンジニアが理解すること。専門家の支援を得ながら、問題解決に向けPKIの実装やソリューションの設計を進めていく必要がある。それも「製造工程の、より早い段階――デザイン、設計の段階からセキュリティを考慮していくことが重要だ。その方がコストも削減できる」（ネルソン氏）

　2015年のBlack Hatカンファレンスで公になった小型四輪駆動車に対するハッキングをはじめ、自動車に対するサイバー攻撃が可能な背景には、認証やソフトウェア署名といった基本的な対策の欠如があったという。それは、医療機器など他の分野でも同様だ。

　「認証や暗号化と並んで、完全性の担保も非常にクリティカルな要素だ。われわれはデータを信頼している。私の娘は糖尿病を患っており、センサーデバイスで5分おきに血糖値量をモニタリングし、それに基づいてインスリンを投与するタイミングを決めている。もし、この数字に改ざんを加えられたら、娘の命が危険にさらされることになる。データの完全性は非常に重要だ」（ネルソン氏）

　こうした側面だけではなく、企業が業務を進め、さまざまな意思決定を行う上でもデータの完全性は重要な要素だ。また、脆弱（ぜいじゃく）性を修正するパッチやソフトウェアアップデートに対するコードサイニングも「セキュリティベストプラクティスの一つだ。コード署名は、ファームウェアに改ざんが加えられていないか、マルウェアが含まれていないかという完全性を担保してくれる。OTA（Over the Air）のアップデートをする上でも、認証とコードサイニング、暗号化は不可欠になるだろう」（ネルソン氏）

セキュリティに対する消極的な姿勢と被害額は比例する？

　ちなみにDigiCertの調査結果からは、興味深い事実が明らかになった。ネルソン氏自身も普段の顧客との対話で感じていることだそうだが、「ヘルスケアや運輸、コンシューマー向けサービスなどの分野では、セキュリティへの取り組みが進んでいる。電力をはじめとする重要インフラも、もちろんそうだ。ただ、同じ業界でもセキュリティに積極的な企業とそうではない企業があり、ばらつきがある」（ネルソン氏）という。

　実は、こうした企業の姿勢が、被害率に如実に反映されている。「セキュリティをあまり深刻に捉えていない会社ではマルウェアなどのサイバーインシデント経験率がほぼ100％だったのに対し、きちんと対策している企業では35％程度にとどまった。情報漏えいについては、72％に対し29％、マルウェア感染については69％に対し21％となっている」（ネルソン氏）

被害率の調査結果（出典：デジサート・ジャパン）

　逆に、DigiCertとともに、開発段階からセキュリティ対策に取り組んでいる企業もある。カンファレンスでは、CaterpillarやCableLabsといった欧米での取り組みともにパナソニックの事例も登場。暗号モジュールと証明書を組み合わせて盗聴やなりすましを防ぎ、消費者に安心して使ってもらえるデバイス開発に向けた取り組みを進めていることが紹介された。

総論賛成、実装の各論は……コラボレーションが不可欠に

　DigiCertはパートナー企業との協業はもちろん、業界全体で標準化に向けて取り組んでいくという。例えば、前述のCabelLabsが先導するDOCSIS（Data Over Cable Service Interface Specifications）規格のケーブルモデム、次世代航空通信システム「AeroMACS」、USB Implementers Forumが作成する「USB Type-C」といった標準化団体と連携することで、数百万、数千万単位のデバイスに対し膨大な数の証明書を発行し、管理する枠組み作りを進めている。

DigiCert IoTセキュリティ担当グローバルディレクター マイク・アーマディ氏

　ただ、こうした取り組みには時間がかかるのも事実だ。同じくDigiCertでIoTセキュリティ担当グローバルディレクターを務めるマイク・アーマディ氏は、自動車の業界団体であるSAE（Society of Automotive Engineers）に参加し、コネクテッドカーのセキュリティ確保に向けコラボレーションを進めているという。アーマディ氏によると、昨今の情勢を踏まえ、自動車メーカー側のセキュリティに対する認識は高まっており、認証や暗号化、完全性といった要素を実装すべきだという「総論」についても合意が広がっているそうだ。

　問題は個々の実装方法だ。「そのやり方、実装方法はメーカーごとにバラバラだ。しかし、Internet of Carの世界が到来すれば、他のメーカーの車ともコミュニケーションし、コーディネートされた形でセキュリティを扱うことが大事になる」（アーマディ氏）。車のメンテナンスや診断サービスを受けるにしても、メーカーごとに別の機器を用意していてはナンセンスだ。インターネットの世界におけるSSL/TLSやSSHのように、あらゆるものが安全にコミュニケーションを取る標準的な方法が必要だとした。

　アーマディ氏は「確かに自動車業界は競争の激しい業界ではあるが、メーカー側のコラボレーションを上回るペースでサイバー攻撃は増加している。この状況に対処し解決するには、ディスカッションを重ね、もっとスピーディーにコラボレーションしていかなければならない」と述べ、デジサートもその活動を支援していきたいと述べた。

（取材協力：デジサート・ジャパン）