ページの先頭です

IoT時代に求められる「セキュリティ」とは

2015年5月12日 経営・ITコンサルティング部 築島 豊長

ネットワーク通信の高速化、センサー技術の高度化、技術を組み込んだ製品の低廉化などの様々な要因を背景に、IoT(Internet of Things、モノのインターネット)が注目されている。今年の1月にアメリカのラスベガスで開催された世界最大級のIT&家電ショー“2015 International CES”や、3月にスペインのバルセロナで開催されたモバイル通信機器の国際展示会「MobileWorld Congress 2015」において、IoTはテーマとして掲げられており、その勢いは留まるところを知らない。

来るべきIoT時代では、あらゆるモノや情報がつながり、様々なサービスが提供されていくことが想定されている。「サービス」であるため、利便性に目が行きがちだが、その利便性とトレードオフの関係にあるのが「セキュリティ」である。前述の「Mobile World Congress 2015」において、VodafoneのChief ExecutiveであるVittorio Colao氏は、IoT時代で重要となるのはセキュリティの課題であると述べていた。

IoT時代に求められる「セキュリティ」は今までと何が違うのか。今までと違い何に注意する必要があるのか。本コラムでは、これらの点について考察したい。

今までと違いどのようなセキュリティ対策が必要なのか

ユーザ視点に立つとセキュリティに加えてプライバシーも確保して欲しいと考えるのではないか、IoT時代の脅威や守るべき資産は何なのか、IoT製品のライフサイクルはどのようなものなのかなど、セキュリティ対策を検討する上で、考慮すべき項目は数多い。

今年の4月に、非営利法人であるクラウドセキュリティアライアンス(CSA)が、「Security Guidance for Early Adopters of the Internet of Things(IoT)」(*1)と題し、IoTにおいて推奨されるセキュリティ対策や将来的に取り組むべき項目などを体系的にまとめたガイドを公表している。本ガイドは、IoTにおいてセキュリティ対策を考慮する際に非常に参考となる。

CSAのガイドでは、大きく分けて7つのセキュリティ対策が取り上げられており、その内容は、「プライバシー」「セキュアな設計開発」「段階及びレイヤごとのセキュリティ保護の実装」「機密情報保護」「IoTデバイスのライフサイクルの定義」「認証/認可の枠組み」「ログ/監査の枠組み」と多岐にわたる。特に注目して欲しいのが「段階及びレイヤごとのセキュリティ保護の実装」で、段階及びレイヤには、「Network Layer」「Application Layer」「Device Level」「Physical Layer」の他に、「Human Layer」が定義されている。「Human Layer」は、IoTにおけるリスクを軽減する上で最も安全にすることが難しく、グレーな領域だとされている。従来はシステムとヒトには境界があり、仮にシステムに問題があってもヒトが対処することができた。しかし、IoT時代では、ヒトはシステムを使う側というより、IoTシステムの一部として組み込まれるものとして、考え方を改める必要がある。

セキュリティ対策が万全であったとしても

今年の3月に興味深い集団訴訟がアメリカで起きている。ハッキングされてドライバーの安全が脅かされる可能性のある車両を、安全だと保証して販売したなどの理由により、トヨタ、GM、Fordの自動車メーカ3社が提訴された(*2)。欠陥があるプログラムを組み込んだハードウェアの使用により損害を被った場合に、製造者の責任が追求される可能性があるのは理解できる。しかし、訴状からは事故などの直接的な損害は発生しておらず、直接的な損害が出ていなくても、人命に関わるような脆弱性があるものを販売すれば提訴される可能性がある。

また、訴状には「In particular, wireless technologies create vulnerabilities to hacking attacks that could be used to invade a user's privacy or modify the operation of a vehicle.(とりわけ、無線技術は利用者のプライバシー侵害や車両の操作変更にも利用可能なハッキング攻撃への脆弱性を生み出す)」という記載があり、通信による遠隔操作でエンジン始動を禁止するような機能・サービスの悪用が指摘されている。これは、あらゆるモノと通信しながら走行する自動運転車、コネクテッド・カーは、このような通信機能の悪用に関連した訴訟のリスクと常に隣り合わせであるということを暗に示しているといえるだろう。

ハッキングされるリスク対策自体が製造者責任の範疇になるのか、ソフトウェアには何らかの欠陥が含まれると理解されている状況における法的責任とは何なのか、IoT時代における製造者の法的責任を占う意味で、今後の訴訟の展開が注目される。

IoTのメリットとリスクを天秤にかけることが必要

IoTに関する議論はまだ途上である。現在では、IoTがもたらす利便性やサービスの高度化、効率化といったメリットやIoTが作り出す社会像が議論の中心となっている。勿論、利便性や未来像も非常に重要だが、我々に深刻な危害や損害を与える可能性があるIoTのセキュリティリスクやプライバシーリスク、倫理等について、さらなる議論が必要ではないか。昨年、Hewlett-Packardが、IoT製品のセキュリティに関する調査結果(*3)を発表し、調査対象製品の70%にセキュリティ問題が見つかったと報告しており、これらについて、十分に議論されているとは言えない。

これまでセキュリティは、後回しにされることが多かった。この背景には、セキュリティが利便性やコストとのトレードオフの関係にあり、利便性を追求する際の足枷になったり、セキュリティ対策の費用対効果が見えづらかったりといった理由があったように思われる。また、何かセキュリティ上の問題が起こったとしても、これまではネットの世界に閉じており、ある意味影響は限定されていたのかもしれない。しかし、前述のCSAのガイドが示すように、もはや人間はIoTシステムの一部として組み込まれており、有事の際は実社会や人命にまで多大な影響が及ぶ可能性が少なくない状況なのである。そう考えると、IoTが私達の生活に組み込まれるほど、セキュリティやプライバシー、倫理を考える必要性は、否応無しに高まってくる。

セキュリティリスク等が十分に考慮されていないIoT関連のサービス、製品、システムが世の中に展開され、その後何らかの事故が発生した際に、想定外という言葉で済ませてはならない。考慮不足は、結果的に危険を招く可能性を増大させるのだ。IoT時代に求められるセキュリティは、利便性などのメリットの次ではなく、同じレベルでの優先事項として検討される必要がある。利便性とセキュリティ対策といった両面のバランスをいかに取っていくか。それを見極めることこそが、IoTが作り出す確かな未来の原動力になるのではないか。


  1. *1CSA"Security Guidance for Early Adopters of the Internet of Things (IoT)" (PDF形式/2,956KB)
  2. *2STANLEY LAW GROUP "COMPLAINT FOR BREACH OF WARRANTY, BREACH OF CONTRACT,AND VIOLATION OF CONSUMER PROTECTION LAWS"
  3. *3Hewlett-Packard"Internet of Things Research Study"

関連情報

【連載】IoTが創る超高度情報社会の側面

ページの先頭へ