IoTにおけるセキュリティ…今必要なことは何か?今後何をすべきか?

IoTデバイスの増加により、大きな問題となってきたセキュリティ対策。すでに、ネットワークにつながる防犯カメラの映像が外部の者に盗み見られる事件が発生したり、自動車の自動運転の機能を乗っ取られる可能性があることが判明したりと、リスクも増加しています。今後、さらにIoTデバイスが増えることにより、その危険性が増すとともに対策が必要不可欠となります。そこで、今後発生する問題点や対策方法など、IoTのセキュリティについて株式会社ビズライト・テクノロジー代表取締役社長・田中博見がお話します。

情報漏えい以上の重大な問題も起きる可能性

日本ではセキュリティ問題がプライバシー問題と一緒になってしまっているところがあります。もちろん広義の意味でそういうところもありますが、IoTのセキュリティの話では、そういう部分は明確に切り分けて考える必要があるでしょう。IoTでのセキュリティ対策の遅れは、単純に個人情報を盗み見られるだけでなく、テロに近いことや、国家レベルの金額が被害を受けるなど、重大な問題を引き起こすことにもつながります。

家庭やオフィス、工場内に置かれる機器。車や電車などの乗り物。畑やビニールハウスの環境を監視調整する機器。さらには川や火山などの災害危険地域の監視、警報を発するための機器など……さまざまなモノがインターネットにつながり、遠隔で管理や操作ができるようになるIoTの世界では、インターネットにつながるデバイスが、2020年には500億を超えるとも予想されています。ありとあらゆるものがネットにつながることは、利用者の利便性を高めますが、それは逆に悪意ある者に侵入する経路を多数与えることにもなるのです。

また、IoTのデバイスは、モノに組み込まれる性質上、より小さく目立たなくなるように開発が進められています。末端のデバイスであれば取り付けられている数も多く、取り外して持っていかれても、すぐには気づかないことが十分に考えられます。持ち去られたことに気づかれる前に、時間をかけて持ち去ったデバイスが解析され、より上のサーバを乗っ取る経路や方法を探しだされるかもしれません。仮にサーバが乗っ取られれば、そこにつながるすべてのデバイスにニセの指令を与え、決まった時間に任意のサーバへ一斉にアクセスさせて攻撃をしかけるようなことも可能です。

ほかにも、異常を検知しないように設定することで重大な事故を引き起こすことや、逆に異常な動作をさせ続けることもできます。また、問題を起こすことはせず、末端のデバイスになりすまし単にサーバとのやり取りを覗き見ることで、製造業であれば生産ノウハウや、農業であれば栽培のノウハウを抜き取ることも考えられます。さらに悪いことに、ネットへ侵入するための踏み台が今までとは比べものにならないほどの数になるので、侵入されたことも、侵入した経路を解析することも困難になるのです。

サーバ型のセキュリティは壁を高く硬くすれば済みましたが、IoTの世界では違います。もちろん壁を高くするのも必要ですが、散らばっているデバイスが本物か偽物かを見極める必要も出てきます。盗まれないように物理的な対処も必要になりますし、セキュリティ対策のされていない物を使用すると違法となるといったような法整備や危機意識の向上なども進めていかなくてはいけません。イタチごっこかもしれませんが、取り組まなければいけない課題です。IoTのセキュリティ向上は早急に取り組むべき事案なのです。

IoTのセキュリティ対策を進める企業の意識改革の重要性

急務であるIoTのセキュリティ対策ですが、IoTにかかわる企業や団体のなかで、すでにさまざまな取り組みを行っている例も数多くあります。例えば、ビズライト・テクノロジーのIoTゲートウェイ『BHシリーズ』に搭載された、Raspberry Piにも採用されているARMプロセッサ(Cortex-Aファミリまたは、ARMv8-Mアーキテクチャを採用したCortex-Mプロセッサ)には、「TrustZone」と呼ばれる技術が使われています。
TrustZoneでは、プロセッサ内に2つの環境をつくり、一方は通常のOSやプログラムなどを動かす環境とし、もう一方をセキュリティ用のOSやプログラムが動く環境として分離します。セキュリティ用の環境からは通常の環境にあるすべてのデータにアクセスできますが、逆のアクセスには制限がかけられていて簡単にアクセスすることはできません。これにより、通常の環境に侵入した悪意のあるプログラムが、セキュリティ用環境に格納した鍵や認証用のデータを見ることができなくなり、安全性を高めることができます。

IoTの世界はWebの世界と違って、誰でも使える暗号技術である必要はありません。Webではカードの決済のように誰でも使える形にしなくてはならないが、IoTの世界では、もっとガードを強固にしたければ独自の通信のセキュリティを二重、三重にかけることもできるのです。TrustZoneはそういった技術のひとつと言え、メーカーではすでにそこまでセキュリティに対して考えているのです。

逆に言うと、TrustZoneのような対策をとっていないような、サードパーティの安いプロセッサも出回っていますが、そういう物を安いからといって使っていると、侵入経路を自ら提供していることになりかねません。いずれは、セキュリティ対策がされた物でなければ出荷してはならないとか、セキュリティ対策が不十分な機器を使用した場合は自己責任となり保険が適用されない、といったような時代が来るでしょう。

提供する側のメーカーだけでなく、ソフト・ハードを利用する側の人たちがもっと真剣にセキュリティのことを考えないといけません。セキュリティの技術的な向上だけでなく、それを使う人の意識も変えていかなければならない時代が来ているのです。

ビジネスモデルから考えるIoTのセキュリティ対策

ビズライト・テクノロジーでは無計画に対策を講じるのではなく、お客様のビジネスモデルから考えて、運用面までを含めて最適なIoTセキュリティ対策を構築しています。

例えば、ECサイトを構築しようとした場合。お客様や商品取引に関しての情報をどのように取得・保管・管理するかが問題になります。費用をかけて機材と多くの人員を投入すれば、情報を簡単には盗まれない強固なセキュリティが実現可能となるかもしれません。しかし、お客様の利便性が下がる場合もあります。そもそもその取引にそこまでの費用をかけての強固なセキュリティが必要なのかという問題も出てきます。

このことは、IoTのセキュリティにおいても同様なことが言えます。どのような情報を送るのか。ハードやソフトに対してどのような対策を施すのか。そもそもそのビジネスモデルがどの程度のリスクで構築できるのか。そのビジネスモデルをどのように守り、運用していくのか。お客様の会社がその運用に耐えられるのか。

ハードやソフトにおいて今後もさまざまな技術が出てくるが、ビズライト・テクノロジーはそれに対応していくだけの力があります。IoTセキュリティ対策についてもお気軽にご相談ください。ハード面、ソフト面、ビジネス面を総合的に検討して最適なIoTセキュリティ対策を構築していきます。

語り手

代表アイコン
株式会社ビズライト・テクノロジー
代表取締役社長 田中 博見
1962年北海道旭川市出身。
大手家電メーカー系の工場でファクトリーオートメーション分野に従事したのち、コンピュータ業界へ。 8ビットから16ビットマイコン時代、ハードウェア設計からファームウェア開発までを経験。 その後はLINUXをベースとしたWEBソリューションに注力すると同時に、IPOを経験すると、 ECサイトの売上向上のためのビッグデータ解析や、BPRなど経営コンサルタント的な活動が増えている。 現在もっとも興味があるのはフィジカルコンピューティング。
記事の内容に関する質問、お問い合わせはこちらへ!

著者情報

著者アイコン
馬場 吉成
webライター。光ファイバー、半導体関連の装置の機械設計や
特許技術者の経験があり、ネットで各種技術を紹介する記事を
多数執筆。他にも日本酒、料理、マラソンなど幅広い分野で
多数の記事を企画、執筆しています。
ライターページ http://by-w.info/

関連記事