第1回 IoTとサイバーセキュリティー

[1] IoT（Internet of Things：モノのインターネット）とは

IoTとは、従来インターネットを構成していたルータなどのネットワーク機器や、いわゆるサーバー、PC、プリンター、モバイルデバイスなどのコンピュータ系の機器に加えて、新たにデジタル情報家電や、さまざまな箇所（人体、動物、環境、設備）に取り付けられたセンサーなどをインターネットに接続し、それらのデータを有効利用し、制御することで、安全で、環境にやさしく、無駄を排除してかつ快適な生活を目指すインターネット利用方法のことを言います。

現状よりもはるかに大量の機器がインターネットに接続され、データが流れるIoT環境を支えるために、新たな無線インフラや通信プロトコルについて、さまざまな提案がなされています。もちろん現状のIPv4アドレスのレベルでは間に合わず、IPv6が標準になります。

このような大量の機器・データに加えて、まだまだノウハウの少ないIPv6を扱う場合には、従来のような「何かが起こってから対応する」といった対策や、「ファイアウオールなどの機器をインターネット接続境界に設置する」だけでは、不十分になってしまうでしょう。

IoT機器に関しては、個々の組織でそれぞれがコントロールしなければならず、従来のような生死にかかわる事故や稼働状況の監視だけでなく、それらに加えて「異常なパケットを送出していないか」、「攻撃を受けていないか」などのチェックも必要になるでしょう。（これらは、センサー系の機器側での機能も必要になります）

さらに、インターネットに接続されるすべての機器は、機器自身のセキュリティーインシデント関連のイベント発行の機能を持ち、組織を超えてインシデントを集約し、その集まったビッグデータをAIのディープラーニング技術を利用して分析し、対応を実施する共通基盤が必要になると思います。

攻撃側は、どんどんスキルを向上させ、協調行動をとっています。それに対応するためには、個別の対応では間に合わない時代に突入しています。

[2]IoTをセキュリティーの観点から考えてみる

このコラムを読んでいただいている方は、上記のIoTという用語について、最近インターネット上ばかりでなく、テレビなどのメディアなどにも取り上げられて、注目が集まっている事を意識されているのではないでしょうか。あたかも、IoTこそがゴールであり、IoTを達成さえすれば、新しい未来がやってくるとみんなが信じているような状況です。
IoTにより、これまで単独で（独立して）稼働していた機器や装置が、インターネットに接続され、加えて、ウエアラブル機器やセンサーの発達で、収集された膨大なデータがビッグデータになり、人知では不可能な相関関係の検出や分析がAIのディープラーニング技術により行われ、想像もしなかったような新しい生活環境や知的活動が黙っていても手に入るかのような有様です。
ところが、このIoTもいいところばかりではありません。
膨大なデータが知らないうちに集められ、分析される事を考えてください。もうおわかりいただいたように、IoTは、このコラムの主テーマであるサイバーセキュリティーの観点からは、多くの問題をはらんでいます。 それを、なるべくわかりやすくまとめてみたいと思います。

•  IoTが本格化すると予想されている2020年のインターネット接続機器は、現在の10倍以上にもなる数百億台になるといわれています。このような膨大な機器を接続するには、現在のネットワークインフラを超える有線・無線環境をサポートできるIPv6プロトコルが必須です。
  ところが、このIPv6のノウハウを持ち合わせている技術者が不足しています。そのノウハウに加えて、サイバーセキュリティーの知識を同時に持ち合わせている必要がありますので、これから養成するのも簡単ではありません。
• このような膨大な数の装置を、常時監視し、サイバー攻撃を見つけたら、インシデント対応をする必要があります。AIの発達は、守る側だけでなく、残念ながら攻撃側の能力向上にも有効に働いてしまいます。
• あらかじめ、すべてのIoT機器にセキュリティー機能を標準搭載したとしても、ソフトウエアとしてのバグ等による脆弱性がなくなることはないでしょう。そのような事態になれば、膨大な数の装置のソフトウエアアップデートを短期間に対応するのは、簡単ではありません。

以上のような、リソースとしての問題や技術的な問題以外に、この発達そのものに絡むセキュリティー問題もあります。

• ビッグデータとして保存されたデジタルデータは、インターネット上からは消去できません。ツイッターなどでのつぶやきは、投稿者が削除したとしても、いったん拡散してしまうと、すべてを削除するのはほぼ不可能です。さらに、5年後、10年後はおろか、50年後やさらに死後までも残り、そして検索され、発見（発掘かな）されてしまう可能性を持っています。ためしに自分の名前を、グーグルで検索してみてください。その表示結果に驚かれる方が多いと思います。これがIoTになると、ウエアラブル機器から収集したプライバシーの侵害になるような、本来アクセス制限されるべきデータも、ソフトウエアのバグや暗号の脆弱性があれば公開されてしまうかもしれません。街角の監視カメラの情報など、場合によっては、個人の特定日の行動がだれでも検索できてしまえば、プライバシーも何もあったものではありません。逆に監視が容易になると、喜ぶ組織もあるかな。

このように、IoT時代の到来で、プライバシーを含むデータが永久に保存され、それが検索されてしまうというセキュリティー問題のほうが、対応することで解消できる技術的な問題よりもはるかに恐ろしいと私は考えています。

※本コラムは、平成27年9月頃に社内コラムとして連載したものに加筆・修正し、掲載させていただいています。