IoTにおけるセキュリティ対策は壁を高く固くするだけでは足りない

IoT /

情報漏えい以上の重大な問題も起きる可能性

日本ではセキュリティ問題がプライバシー問題と一緒になっているところがある。もちろん広義の意味でそういう部分もあるが、IoTのセキュリティの話では、明確に切り分けて考える必要がある。IoTでのセキュリティ対策の遅れは、単純に個人情報を盗み見られるだけでなく、テロに近いことや、国家レベルの金額が被害を受けるなど、重大な問題を引き起こすことにもつながりかねない。

家庭やオフィス、工場内に置かれる機器。車や電車などの乗り物。畑やビニールハウスの環境を監視調整する機器。さらには川や火山などの災害危険地域の監視、警報を発するための機器など……さまざまなモノがインターネットにつながり、遠隔で管理や操作ができるようになるIoTの世界では、インターネットにつながるデバイスが、2020年には500億を超えるとも予想されている。ありとあらゆるものがネットにつながることは、利用者の利便性を高めるが、それは逆に悪意ある者に侵入する経路を多数与えることにもなる。

IoTのデバイスは、モノに組み込まれる性質上、より小さく目立たなくなるように開発が進められている。末端のデバイスであれば取り付けられている数も多く、取り外して持っていかれても、すぐには気づかないことが十分に考えられる。持ち去られたことに気づかれる前に、時間をかけて持ち去ったデバイスが解析され、より上のサーバを乗っ取る経路や方法を探しだされるかもしれない。仮にサーバが乗っ取られれば、そこにつながるすべてのデバイスにニセの指令を与え、決まった時間に任意のサーバへ一斉にアクセスさせて攻撃をしかけるようなことも可能だ。

ほかにも、異常を検知しないように設定することで重大な事故を引き起こすことや、逆に異常な動作をさせ続けることもできる。また、問題を起こすことはせず、末端のデバイスになりすまし単にサーバとのやり取りを覗き見ることで、製造業であれば生産ノウハウや、農業であれば栽培のノウハウを抜き取ることも考えられる。さらに悪いことに、ネットへ侵入するための踏み台が今までとは比べものにならないほどの数になるので、侵入されたことも、侵入した経路を解析することも困難になる。

サーバ型のセキュリティは壁を高く硬くすれば済むが、IoTの世界ではそうではない。もちろん壁を高くするのも必要だが、散らばっているデバイスが本物か偽物かを見極める必要も出てくる。盗まれないように物理的な対処も必要になるし、セキュリティ対策のされていない物を使用すると違法となるといったような法整備や危機意識の向上なども進めていかなくてはならない。イタチごっこかもしれないが、取り組まなければいけない課題です。IoTのセキュリティ向上は早急に取り組むべき事案なのである。

IoTのセキュリティ対策を進める企業の意識改革の重要性

急務であるIoTのセキュリティ対策だが、IoTにかかわる企業や団体のなかで、すでにさまざまな取り組みを行っている例も数多くある。例えば、Raspberry Piにも採用されているARMプロセッサ(Cortex-Aファミリまたは、ARMv8-Mアーキテクチャを採用したCortex-Mプロセッサ)には、「TrustZone」と呼ばれる技術が使われている。TrustZoneでは、プロセッサ内に2つの環境をつくり、一方は通常のOSやプログラムなどを動かす環境とし、もう一方をセキュリティ用のOSやプログラムが動く環境として分離している。セキュリティ用の環境からは、通常の環境にあるすべてのデータにアクセスできるが、逆のアクセスには制限がかけられていて簡単にアクセスすることはでない。これにより、通常の環境に侵入した悪意のあるプログラムが、セキュリティ用環境に格納した鍵や認証用のデータを見ることができなくなり、安全性を高めることができる。

IoTの世界はWebの世界と違って、誰でも使える暗号技術である必要はない。Webではカードの決済のように誰でも使える形にしなくてはならないが、IoTの世界では、もっとガードを強固にしたければ独自の通信のセキュリティを二重、三重にかけることもできる。TrustZoneはそういった技術のひとつと言え、メーカーではすでにそこまでセキュリティに対して考えているのである。

逆に言うと、TrustZoneのような対策をとっていないような、サードパーティの安いプロセッサも出回っているが、そういう物を安いからといって使うと、侵入経路を自ら提供していることになりかねない。いずれは、セキュリティ対策がされた物でなければ出荷してはならないとか、セキュリティ対策が不十分な機器を使用した場合は自己責任となり保険が適用されない、といったような時代が来るかもしれない。

提供する側のメーカーだけでなく、ソフト・ハードを利用する側の人たちがもっと真剣にセキュリティのことを考える必要がある。セキュリティの技術的な向上だけでなく、それを使う人の意識も変えていかなければならない時代が来ている。