[第18号]

Weekly CyberSecurity Column201603

弊社上級ネットワークエンジニアによる、セキュリティーに関するコラムをお届けします。
会社の公式文書という形ではない、作者個人の現場感あふれるコラムをお楽しみいただきつつ、日頃の営業活動へのヒントやお客様へのコミュニケーションなどにご利用頂ければ、幸いです。

著者 okun
ネットワーク ・ セキュリティー「一筋」?十年。社内外のネットワークインフラ構築を担当する。社内の新人向けから技術者向けまでネットワークやインターネットの講座を幅広く開催している。

[第18号]

インターネットに関連するさまざまなセキュリティーニュースとコラムを、定期的(ほぼ週刊)にお届けします。
今週は、IoT(Internet of Things:モノのインターネット)をセキュリティーの観点から考えてみたいと思います。

1)IoTをセキュリティーの観点から考えてみる
このコラムを読んでいただいている方は、上記のIoTという用語について、最近インターネット上ばかりでなく、テレビなどのメディアなどにも取り上げられて、注目が集まっている事を意識されているのではないでしょうか。あたかも、IoTこそがゴールであり、IoTを達成さえすれば、新しい未来がやってくる(どこかで聞いたような)とみんなが信じているような状況です。
IoTにより、これまで単独で(独立して)稼働していた機器や装置が、インターネットに接続され、加えて、ウエアラブル機器やセンサーの発達で、収集された膨大なデータがビッグデータになり、人知では不可能な相関関係の検出や分析がAI(人工知能のことですよ。歌手のAIさんではありません)のディープラーニング技術により行われ、想像もしなかったような新しい生活環境や知的活動が手に入るかのような有様です。
ところが、このIoTもいいところばかりではありません。膨大なデータが知らないうちに集められ、分析される事を考えてください。もうおわかりいただいたように、IoTについて、このコラムの主テーマであるサイバーセキュリティー上は、多くの問題があります。 それを、なるべくわかりやすくまとめてみたいと思います。

 

・IoTが本格化すると予想されている2020年のインターネット接続機器は、現在の10倍以上にもなる数百億台になるといわれています。このような膨大な機器を接続するには、現在のネットワークインフラを超える有線・無線環境をサポートできるIPv6プロトコルが必須です。
ところが、このIPv6のノウハウを持ち合わせている技術者が不足しています。そのノウハウに加えて、サイバーセキュリティーの知識を同時に持ち合わせている必要がありますので、これから養成するのも簡単ではありません。

 

・このような膨大な数の装置を、常時監視し、サイバー攻撃を見つけたら、インシデント対応をする必要があります。AIの発達は、守る側だけでなく、残念ながら攻撃側の能力向上にも有効に働いてしまいます。

 

・あらかじめ、すべてのIoT機器にセキュリティー機能を標準搭載したとしても、ソフトウエアとしてのバグ等による脆弱性がなくなることはないでしょう。そのような事態になれば、膨大な数の装置のソフトウエアアップデートを短期間に対応するのは、簡単ではありません。

 

 以上のような、リソースとしての問題や技術的な問題以外に、この発達そのものに絡むセキュリティー問題もあります。

 

・ビッグデータとして保存されたデジタルデータは、インターネット上からは消去できません。
ツイッターなどでのつぶやきは、投稿者が削除したとしても、いったん拡散してしまうと、すべてを削除するのはほぼ不可能です。さらに、5年後、10年後はおろか、50年後や死後までも残り、そして検索され、発見(発掘かな)されてしまう可能性があります。ためしに自分の名前を、グーグルで検索してみてください。その表示結果に驚かれる方が多いと思います。これがIoTになると、ウエアラブル機器から収集したプライバシーの侵害になるような、本来アクセス制限されるべきデータも、ソフトウエアのバグや暗号の脆弱性があれば公開されてしまうかもしれません。街角の監視カメラの情報など、場合によっては、個人の特定日の行動がだれでも検索できてしまえば、プライバシーも何もあったものではありません。監視が容易になると、喜ぶ組織もあるかな。

 

 このように、IoT時代の到来で、永久に保存され、それが検索されてしまうというセキュリティー問題のほうが、技術的な問題よりもはるかに恐ろしいと私は考えています。

2)その他
2週にわたって書きましたCoCo壱番屋のコラムは、これまでで最も多い感想が送られてきました。私としても、このような反響があると、書いていても楽しくなります。その中には、記事に対する感想に加えて、よく書くことがなくならないものですねというメールがいくつかありました。
私としても、もうインターネットのセキュリティーは、パーフェクトで安全・安心ですと言いたいところですが、今回のIoTを読んでいただくと、セキュリティーインシデントは、増えこそすれ減ることはないでしょう。

実は、書いている当日(2月9日 8時 日本時間)もJavaの脆弱性が発表されています。近日中にJPCERTのサイトにも掲載されるでしょう。

将来インターネット接続は、許認可制になるかもしれませんね。(冗談です)

次号では、DDoS について、なぜいつまでたってもなくならないのかをお送りしたいと思います。

以上、18号でした。