No.010 特集:2020年の通信・インフラ
連載02 Security of Things(モノのセキュリティ)の時代へ
Series Report

セキュリティ対策なんて頭の隅にもない

図3に示した2番目のポイントは、ユーザーによるセキュリティ対策を期待できないことだ。IoT関連機器を利用する人々は、パソコンユーザーよりもはるかに幅広い。目の前にあるテレビや冷蔵庫の中身が、実はコンピュータであるとは思ってもみない人たちがほとんどだろう。当然、セキュリティ対策やアップデートなど、頭の隅にもない。こうしたユーザーの状態を前提として、セキュリティの仕組みを考える必要がある。

3番目のポイントは、機器を開発する側もセキュリティに対する知識が十分ではないということだ。例えば、冒頭に記載したようにIoT時代の到来で、白物家電のように生活に欠かせない機器もインターネット経由で管理・制御されるようになっていく。しかし、白物家電の開発者は、セキュリティ確保に向けた知識は皆無に近い状態だ。これまでセキュリティ関連の技術はIT分野の技術であり、白物家電の開発とは全く別の分野だった。新たにチャレンジすべき開発項目なのだ。比較的人材豊富な自動車業界でも、IT業界のセキュリティ技術の陣容と比較すれば、とても十分とはいえない状況だろう。

4番目のポイントは、システムをアップデートする技術が、現状で確立されていないことである。パソコンでも、「Windows Update」の仕組みが導入されたのは1998年リリースの「Windows 98」からであり、パソコンがインターネットに当たり前のように接続されるようになってから、5年以上経過してからだ。パソコンのように、内部構造が画一的で対策しやすい機器でもこれだけ対策に時間を要したのだ。多種多様なIoT関連機器で同様の仕組みが整備されるためには、新しいアイデアで開発された技術が必要になる可能性が高い。しかも、IoT関連機器はインターネットに常につながっているとは限らない。家電の利用者が長期出張から帰って、適切にアップデートされていないシステムが、突然ネットワークにつながるといった事態が生じる可能性がある。市場に出回ったシステムを管理可能な状態にすることさえ難しいのだ。

5番目のポイントは、家電製品や自動車は、パソコンなどIT機器と比べて買い替えサイクルが長いことだ(図4)。パソコンは約3年で買い換えられる。長く使おうにも、メーカーのサポートが無慈悲に打ち切られる。つい最近にも「Windows XP」のアップデートが終了し、泣く泣く最新のOSが動作するパソコンに買い替えた人もいるのではないか。これに対し、テレビや自動車は、10年以上使われることが珍しくない。このため、新製品の当時は最新のセキュリティ対策を取り入れていたとしても、使っているうちに新しい脅威に対抗できなくなる。

主な機器の買い替えサイクルの図
[図4] 主な機器の買い替えサイクル
出典:内閣府 消費動向調査などのデータを基に筆者が作成

セキュリティ対策の巧拙が日本製の国際競争力に直結

6番目のポイントは、セキュリティとセーフティ(安全性)の区別が曖昧で、すべてメーカーの責任と考えられていることだ。これは2番目のポイントの延長線上にある課題だ。パソコン業界は、ソフトの不具合はユーザーと協力しながら対処するという文化を、市場が生まれた当初から上手に醸成してきた。しかし、例えば白物家電では、安全性は当然メーカーが守るべきものという前提がある。新たな課題であるセキュリティの確保と従来の安全性の確保が、同一視される。3番目のポイントの部分で紹介したように、IoT関連機器では開発する側も、セキュリティ技術の扱いに慣れているとはいえない。ユーザーの無言の信頼に応える体制を早期に築かないと、メーカー側がリスクを抱えることになる。

自動車に関しては、事故や不具合を防ぐための運用・維持管理は、所有者やドライバーの自己責任で行うことを前提としている。しかし現在の自動車は、ユーザーが触れることができない電子的な機構が増えている。一昔前のように、お父さんがボンネットを開けて、機械の動きを点検するといった具合にはいかないのだ。こうした電子的な機構にかかわるセキュリティの確保は、当然メーカーの責任になる。安全性や信頼性で、自動車をはじめとする日本の工業製品は、世界の消費者から圧倒的な信頼を得ている。セキュリティ対策の巧拙は、日本の工業製品の国際競争力に直結することだろう。

ハッカーは常に弱い部分を見つけて攻撃する

7番目のポイントは、IoT関連機器を開発・供給する業界は多種多様で、セキュリティ対策の必要性や実施のレベルは、業界ごとにかなりの差があることだ(図5)。例えば、人命に係わる製品を開発しているメーカーと、ハッキングされても重大な損失には至らない製品を開発しているメーカーでは、当然セキリティ対策のレベルにも差が出てくる。

業界ごとに求められるセキュリティ対策と実施レベルに差があるの図
[図5] 業界ごとに求められるセキュリティ対策と実施レベルに差がある
出典:重要生活機器連携セキュリティ協議会 伊藤公祐氏による「IoTセキュリティ〜脅威と対策の方向は?〜」

この差は、かなり深刻な事態をもたらす可能性がある。業界を超えたサービス連携が広がることで、想定外の機器の脆弱性がハッキングを呼び込む可能性があるからだ。例えば、携帯音楽プレーヤーを自動車に接続して音楽を楽しむといった利用シーンが既にあるが、携帯音楽プレーヤー経由で自動車をハッキングされる恐れもある。セキュリティの世界では、常に弱いところが狙われることを前提に考えるべきだ。サービス連携すると、全体のセキュリティレベルは、常に最も低いレベルの機器に合わされるということを念頭に置く必要がある。

IoT時代には、あらゆるモノでセキュリティ対策が必須になる。しかも、パソコンなどIT機器で培ってきた技術をそのまま転用できない部分が多い。次回は、IoT時代のセキュリティを確保するための、業界を超えた取り組みと、対策に向けて用意されている技術を解説する。

Writer

伊藤 元昭

株式会社エンライト 代表。
富士通の技術者として3年間の半導体開発、日経マイクロデバイスや日経エレクトロニクス、日経BP半導体リサーチなどの記者・デスク・編集長として12年間のジャーナリスト活動、日経BP社と三菱商事の合弁シンクタンクであるテクノアソシエーツのコンサルタントとして6年間のメーカー事業支援活動、日経BP社 技術情報グループの広告部門の広告プロデューサとして4年間のマーケティング支援活動を経験。2014年に独立して株式会社エンライトを設立した。同社では、技術の価値を、狙った相手に、的確に伝えるための方法を考え、実践する技術マーケティングに特化した支援サービスを、技術系企業を中心に提供している。

URL: http://www.enlight-inc.co.jp/

Copyright©2011- Tokyo Electron Limited, All Rights Reserved.