IoTセキュリティに「寄らば大樹」が存在しないワケ

IoT /

IoTの導入を考える上で、セキュリティをどのように維持するのか--積年の課題であるにもかかわらず、今日現在まったく未解決の問題である。

その背景として、従来のPCを中心としてきた「人間が使うインターネット」と、IoTが目指す「モノやコトのインターネット」が、同じインターネットでありながら大きく異なるパラダイムだという理由が存在する。

前者において、人間が使うインターネットのセキュリティの責任は、当然ながら人間に帰することになる。従ってそこでは、いかに人間がセキュリティを維持するか、というマネジメントシステムの発想が重要になる。国際標準でいえば、ISO/IEC 27000シリーズ(及びその社会実装であるISMS)が、この考え方に準拠している。

この記事はインターネットを介して配信されているので、この記事を読んでいる方は確実に前者を使っていることになるし、ということは職場や家庭でセキュリティについてちょっとは考える(考えさせられる)機会があるだろう。その際の関心は、前項で示した「いかに使い手がセキュリティの意識を持ち続けるか」、ということにある。

しかしながら、IoTの世界では、こうはいかない。人間がセキュリティを維持できるのは、人間が状況に応じて対応を変えて、事態を改善できるからである。ところがIoT機器はそう簡単に状況の変化に対応できない。それこそスマートフォンやPCで頻発するソフトウェアのアップデートでさえも、IoT機器では容易ではない。

だからこそ、導入時にできる限りのセキュリティ対策を導入することが、IoT機器には求められる。それこそ、現時点の世の中の技術水準や運用体制では、機器に全幅の信頼を寄せられないので、異常時には機器自身に自らの機能を(安全に)強制終了させる、という機能を盛り込むというような設計思想さえ、場合によっては必要となる。

2017年3月にドイツ・ベルリンで開催された、G20の「製造業のデジタル化」に関する会議に参加したが、そこでも前述のような議論になった。会議を主催したドイツ政府は、彼らが牽引するインダストリー4.0において、ISMSのような運用でカバーする考え方ではなく、機器を導入する者がセキュリティに対する責任をもって設計・開発することが重要だと考えている。

ただし、その考え方が本当に妥当なのかは、まだ分からない。たとえばその実現には、世の中にあるすべてのIoT機器を認証することは困難だという観点から、ISMSのような第三者認証ではなく、開発者の自己宣言(国際標準ではISO/IEC 62443シリーズがこれに該当する)によって行われることが期待されるが、同時にその実効性をどのように担保するのか、という新たな課題が浮かび上がる。

とかく人間は「寄らば大樹」になりがちで、何らかの標準に準拠していることばかりを追いかけがちである。しかし、少なくともIoTセキュリティは、寄り添える大樹がまだ存在しないほど、状況は未成熟でもある。いま重要なのは、未だ存在しない大樹を探すことではなく、モノやコトへの責任を考えた上で、それを設計に落とし込めている機器やソリューションを見つけることなのだろう。