NOTICEに成果は期待できるか

IoT /

総務省主導で、来る2月20日から実施される、IoT機器調査及び利用者への注意喚起の取組「NOTICE」について、「NOTICEサポートセンター」なる機関への質問及びサイト上の情報を合わせ、極めて断片的であるが、幾つか知りえた点を報告する。

NOTICEの取組み(NOTCE特設サイトより)

  • テストするID,PWの組み合わせは約100種類(特設サイトより:https://notice.go.jp/)ということだが、これらリストはどこかに公開されているか。

NOTICEサポートセンターの回答によると、公開はされていないとのことだった。サイト上で例示する文字列等の組み合わせということなのだろうか。調査の手の内を明かすようで、なんとなくわからないわけでもないが、本来の目的が、妥当なPWに修正させるいう目的なら、よろしくない例を全て公表してもよさそうなものだと筆者は思う。

  • プロバイダからユーザーへ、結果の通知義務はあるのか(プロバイダ自身が無視することはないのか)。

そもそも、今回のNOTICEには「参加します」というプロバイダが存在することが前提ということだった(これは知らなかった!)。<例:ニフティ株式会社>つまり「参加します」と言っておいて、改善通知を行わないということは想定しにくいということだ。 一方、参加を表明をしていないプロバイダに対しては、調査結果(よろしくない設定をしているIPアドレス)は「通知されない」そうだ。日本のプロバイダが数千あると言われている中、どれだけのプロバイダがこのNOTICEに参加していて、実質的にどれだけのデバイスがカバーされるのかは知ることができなかったが、全数ではないことは確かな様だ。

  • プロバイダからの改善通知の文案例は公表されているか。

これはまだ公表されてなく、また、定型的な通知文となるかどうか、わからないとのこと(NOTICEサポートセンター談)。これは後述するが、各プロバイダが独自の通知方法、通知文でバラバラにユーザーに通知した場合、簡単に言えばスパムの一種と捉えられないか?とい疑問があったため、知りたかった点である。

  • 今回の調査後、同様の調査や注意喚起は再度予定されているか。

今年2月20日から第一弾がスタートし、その後数度、同様の実施を予定している(NOTICEサポートセンター談)。これを知りたかったのは、NOTICEの効果測定をするためには、絶対に複数回の実施を行う必要があるためだ。また、複数回実施することで改善率がアップすることも期待できるだろう。ただ、同じIPに対して複数回チェックするのか、2億ある対象を複数回に分けるということなのかは不詳であった。前者ならいいが、後者なら効果測定はできないことになる。


ところでそもそも、ユーザー(IoTデバイスの管理者)が、プロバイダから「パスワード変えてください」と改善通知を受けて、「あ、はい。すぐ直しま~す」とアクションを起こすものなのだろうか。NOTICEの浸透度、改善通知文の内容、通知方法にもよるとは思うが、そもそも「怪しい通知」と判断し、破棄・無視してしまうのではないだろうか。この疑問に対しては、複数回にわたり同様の調査を行い、効果の測定、分析を行えばある程度明らかになることなので、是非行って、結果を報告してほしい。「通知を受けたが無視した」ユーザーが大量に存在するなら、同じことを何度やっても成果は期待できない。

今回のNOTICEは、各プロバイダに対して、「法令の枠組み作ったから、君たちが改善すべき対象を洗い出して、設定を変更させなさい」ではなく、行政自らが改善対象を抽出する立場となったことは、一歩踏み出した感があり、筆者は評価できる。だがやはり、成果に焦点をあてる(=成果に責任を取る)といった点では、逃げ腰と思える。行政はユーザー情報を特定できないというのは理解できるが、プロバイダからの通知にも改善がなされないユーザーに対し、行政がさらに踏み込んだアプローチを取る仕組みを用意することで実効性が高まるものと考える。

自動車にキーを差しっぱなしで放置し、それが犯罪に利用されると、放置したドライバーにも法的責任が生じる。現代では、サイバー犯罪は自動車を用いた犯罪よりはるかに甚大な被害をもたらす可能性が高い。2020年4月からはIoT端末機器側のセキュリティ設定が義務化されるが、既に大量の「カギ差しっぱなし」のデバイスが野に放たれている現在、法的な強制力(ユーザーの罰則又はプロバイダ側の権利強化)も含めた対策があってもいいのではないかと筆者は考える。

GASKET 2019年2月6日
総務省のIoT機器侵入調査「NOTICE」について

Tags: