No.015 特集:5Gで変わる私たちのくらし
Scientist Interview

脆弱なIoTを糸口にシステムを攻撃

── これからやってくるIoT時代には、思ってもみなかったモノがネットにつながることでしょう。サイバー攻撃の対象や手法は、どのように変わっていくのでしょうか。

これまでの攻撃対象は、パソコンやスマートフォンのような「人間が直接介在する機器」でした。このため、サイバー攻撃があれば、パソコンが動かなくなるとか、機器が不具合を起こすとか、人間が気づく現象が起きます。ところがIoT時代になると、「人間が介在しない機器」が攻撃対象の中心になっていくことでしょう。そして情報が漏洩したり、システムが乗っ取られたりしても、気づかなくなるのです。

現時点で、IoTシステム設計者のセキュリティ確保に対する意識は、より強化していく必要があります。ましてや、システムの利用者であればなおさらです。IoTは、人の命に関わる医療関連での利用も期待されていますが、医療関連のIoT研究会で議論されるのは効果的なシステムの選択指針などが中心で、サイバー攻撃の脅威に関する認識はそれほど高くないのが現状です。つまり侵害可能な脆弱性が内在していると言えます。

このままの状況が続けば、脆弱なIoTシステムが知らない間に乗っ取られて、そこから通信が発生し、さらに他のシステムを乗っ取ったり破壊したりする事件が起きかねません。ITリテラシーの低い人を糸口にしてクラウドシステムを攻撃するのと同じことが、IoTを糸口にして起きる可能性があるのです。現状でも、1テラビット/秒の攻撃規模のDDoS(Distributed Denial of Service*6)攻撃ができれば、あらゆるオンラインのシステムを麻痺させることができます。

DDoS攻撃のイメージ
[図3] DDoS攻撃のイメージ

── IoTシステムでは、どうしてセキュリティに関する意識が低くなってしまうのでしょうか。

IoTシステム開発の担当部署が、プロフィットセンターである事業部になっているからではないでしょうか。これまでのITは、コストセンターである情報システム部門が調達・保守を担当していました。さまざまな情報セキュリティインシデント対処の経験を積み重ねてきたことで、そうした部署はセキュリティに関する認識が比較的高く、知見やノウハウも蓄積しており、コストを掛けて対策をする傾向にあります。しかし、IoTシステムの開発では、稼ぐことを目的とする部署が担うため、セキュリティに関する認識が十分でなく、かつITに長けていない設備機器領域の技術者が、最小限のコストでシステムを構築しようとすることがあります。

しかも、末端に置かれるIoTデバイスは、費用対効果を向上させる都合上、ハードウエアのリソースが足りないわけですから、充分な対策を施すことができません。さらに、低電力で、長距離での無線通信が簡単にできるようになり*7、LPWA(Low Power Wide Area) *8と呼ばれる無線通信なら総務省の無線技術を活用するための免許すら不要です。攻撃者にとって、都合の良いことこの上ない環境が出来上がります。

さらに首相官邸に設置された日本経済再生本部では、「日本再興戦略」改訂2015の中で、日本版第四次産業革命を推し進めるため「IoT・ビッグデータ・人工知能」に注力していくとしました。しかし、そこでのサイバーセキュリティの位置づけは、重要性は強調していますが、実効性が乏しいものが見受けられます。そもそもセキュリティ関係に携わる人の数があまりにも少ないのが現状です。

セキュリティへの取り組みは後戻りできません。怠れば、安全性が下がり、組織を危機に陥れます。経済・産業面では生産性の急激な低下による、売り上げの急落もあり得ます。セキュリティ対策の不備で、先進国の座から陥落する可能性すらあると、私は考えています。売り上げの増大や、GDPの成長を促進するためには、相応するセキュリティ対策コストも増大していくと認識しなければなりません。

いま、経済活動のほとんどはサイバー空間の中で行われています。そのベースとなる仕組みやリスクを十分に理解せずに、利活用するだけの姿勢はよくありません。脅威やリスクが増大している場で、金銭のやり取りが行われていると理解する必要があります。適切な恐れを感じることが重要です。

[ 脚注 ]

*6
DDoS(Distributed Denial of Service): 分散型サービス妨害攻撃のこと。多数の端末から一斉に大量のデータを特定宛先に送りつけ、宛先のサーバ等を動作不能にする攻撃。
*7
この無線技術は、低い消費電力と長い通信距離が要求されるIoTに適したものである。コネクテッドデバイスの省電力化・低価格化を実現できるとされている。
*8
LPWA(Low Power Wide Area):LPWAとは、少ない電力消費で数kmの長距離通信が可能になる無線通信技術。小規模データを伝送するのに特化しており、データ伝送速度は100bps〜400kbpsと遅い。乾電池1個で1〜2年利用できるほど低い。携帯電話の通信可能距離は約6kmだが、LPWAは理論上、1kmから最大50kmまで可能になる。
ケヴィン・スラヴィン氏
 

Profile

名和 利男(なわ としお)

サイバーディフェンス研究所 専務理事/上級分析官
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当業務に従事。その後、JPCERTコーディネーションセンター早期警戒グループのリーダー等を経て、現職。専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT構築及び、サイバー演習の国内第一人者として、支援サービスを提供している。現在、サイバー脅威インテリジェンス関連情報の提供に力を入れており、他複数の役職を兼務している。

Writer

伊藤 元昭(いとう もとあき)

株式会社エンライト 代表

富士通の技術者として3年間の半導体開発、日経マイクロデバイスや日経エレクトロニクス、日経BP半導体リサーチなどの記者・デスク・編集長として12年間のジャーナリスト活動、日経BP社と三菱商事の合弁シンクタンクであるテクノアソシエーツのコンサルタントとして6年間のメーカー事業支援活動、日経BP社 技術情報グループの広告部門の広告プロデューサとして4年間のマーケティング支援活動を経験。

2014年に独立して株式会社エンライトを設立した。同社では、技術の価値を、狙った相手に、的確に伝えるための方法を考え、実践する技術マーケティングに特化した支援サービスを、技術系企業を中心に提供している。

URL: http://www.enlight-inc.co.jp/

Copyright©2011- Tokyo Electron Limited, All Rights Reserved.