IoT時代の発展のカギはサイバーセキュリティ対策

最近は、IoT関連分野で夢のある話が多く聞かれる。通信技術と小型デバイス、さらにはデータ処理がいずれも高度化する中で、新しいビジネスの創造や、既存ビジネスの効率化などが推進されている。今回は、そうしたIoT時代に欠かせない、サイバーセキュリティ対策について考えてみた。

IoT時代のサイバーセキュリティとは

IoT時代になると、ネット接続される機器数が、現在とは比較にならないほど多数になるといわれている。たとえばシスコシステムズ社の調査では、2013年時点で100億個であったモノが、2020年までには500億個のモノがネットに接続されると予測されている。

こうしてネット接続されるモノは、1)小型デバイスゆえのリソース不足、2)数の多さゆえの人手でのメンテナンス困難、3)社会インフラゆえの10年以上の長期運用、などの要因から、従来のPCやサーバなどと同じようなセキュリティ対策が難しい。

IoT時代に想定される脅威

IoTはさまざまな分野での応用が期待されている。運輸・物流分野では、自動運転への期待が大きい。また医療分野では、着用型の生体モニタや医療機器のネット接続で、24時間モニタリングによる容体急変や突然の発病の発見が可能となる。気象データについても、今よりも小型で安価な気象センサを多数設置することで、より細やかな観測に基づく予測が可能となるだろう。

こうして、さまざまな社会インフラをIoTが支えることになると、それらのIoT機器・IoTサービスへの脅威が、直接的に人命の危機に結びつく恐れがある。

たとえば、2015年に開催されたセキュリティカンファレンスBlack Hat USA 2015にて、自動車に対するハッキング手法が公開され、その対策として140万台の自動車がリコールの対象となった。医療機器についても、近年ネット接続する機器の脆弱性情報が増えており、その内容も比較的基礎的な脆弱性対策の不足であることが多い。

いずれも、製品が市場に出てからソフトウェアの脆弱性が発見されている事象であり、その可能性をゼロにすることは非常に困難である。その結果、IoT機器・IoTサービスへのサイバー攻撃によって、交通事故が引き起こされたり、患者の容態変化の見落としが起きたり、ゲリラ豪雨の警報が出せない、などの社会的影響が懸念される。

IoT時代に必要な技術開発

上述した脅威に対抗するためには、新たな技術開発が必要である。

脆弱性については、セキュリティを考慮した開発も必要だが、将来の脆弱性をゼロにすることは困難である。そこで、IoT機器に容易にセキュリティパッチを適用できる、自動アップデート機能の開発が望まれる。単純にアップデートを自動化するだけでなく、自己診断機能を備え、アップデート時の不具合を回避するなどの工夫が必要となる。

IoT機器の乗っ取り対策としては、証明書ベースの認証が有効である。既存のPCやサーバ機器でも証明書ベースの認証は活用されているが、IoT機器の長期運用を想定して、証明書の更新機能や暗号化モジュールの更新機能が必要となる。2014年に発覚したSSL3.0プロトコルの脆弱性のように、新たな攻撃手法の開発により脆弱性が発覚して、その暗号化方式が使用できなくなる危殆化に備えるべきである。

IoT機器の多くはインターネットを使用することから、途中経路を攻撃されて起きる傍受や中間者攻撃などにも注意が必要である。基本的には十分な鍵長を用いて暗号化することが有効だが、小型IoT機器ではリソース(CPUやメモリ)に限界があるため、通常のPCやサーバで使用する暗号アルゴリズムが使えないことが多い。そこで、さまざまな小型IoT機器でも搭載可能な、軽量な暗号技術の開発が望まれる。

IoT機器・IoTシステムのセキュリティ評価指標

IoTは現在、黎明期から普及期に差し掛かっており、急速に規模を拡大し始めているが、サイバーセキュリティに対する配慮が十分でない機器やシステムが数多く存在する。さらに、将来それらのIoTシステムが相互接続するようになると、相互接続により生まれたより大きなIoTシステムのセキュリティレベルの確保は大きな課題である。多くのIoTシステムが堅牢に作られていても、一部のIoTシステムのセキュリティレベルが低いと、攻撃者はそのセキュリティレベルの低い箇所を狙ってくるだろう。

そこで、将来のさらなるIoTの普及のためには、個々のIoT機器・IoTシステムのセキュリティレベルを評価・格付けする指標が必要である。制御システムの分野ではセキュリティレベルの評価・格付けを行う取組が進められてきたが、IoT機器・IoTシステムに求めるセキュリティ要件を整理して、IoT向けの評価・格付けを行う指標づくりが急務である。

一般的なIoT機器・IoTシステムであれば、定められた指標を用いてセルフチェックできるようになるとよいだろう。セルフチェックツールがあれば、開発時や運用時に望ましいセキュリティ対策が自然と実施できるようになる。また、重要な社会インフラの一部となるIoT機器・IoTシステムについては、第三者評価・第三者認証の仕組みが整備されることが望まれる。