ここから本文です

IoTのセキュリティは部品の数だけ必要

ITmedia エンタープライズ 9/29(木) 12:52配信

 IoTは、これまでオフラインだったモノがネットワークに接続され、人手を介さずに情報を共有したり、お互いに制御し合ったりできる仕組みだ。これによって、利便性の高い豊かな生活を得られるだろう。IoTとは、世の中を一変させる可能性を秘めている。その理由は、情報活用の範囲が劇的に拡大し、サーバやPC、スマートフォンなどのデバイスに限定されていたものが、一気に身近な領域へと広がる。既に家電や自動車などはITと非常に近い存在であり、この分野のIoT化はすぐにでもやってくるだろう。

【その他の画像】

 そして、産業全体を巻き込む大きな流れになるはずだ。製造業では生産管理やサプライチェーンマネジメント、小売や流通ならPOS端末、金融であればATMなどの領域で、IoTが効率化やコスト削減、収集した情報によるマーケティング活用などの新事業・新サービスを後押しする。さらには、医療分野や高度な交通制御、教育などの専門性の高い分野にも拡大していく。その頃には機器がインターネット接続されることが当然となり、「IoT」という言葉をあえて使わなくなるかもしれない。

 しかし、IoTを前提とする世の中が実現する上での大きな課題がセキュリティだ。

 IoTは、各種デバイスとそれをつなぐネットワーク、全体の管理や制御を行うサーバなどで構成されている。特に管理や制御は、各種デバイスから収集した情報を集約するので、一元的になされるだろう。効率を考えると情報の集約先はクラウドになるので、IoTはクラウドコンピューティングと切っても切れない深い関係となるはずだ。膨大なデバイスをネットワークにつなげるIoTには大規模システムが必要で、それだけに価値を生む要素も多くなる。しかし、それが停止すれば影響はあまりに大きい。だからこそ、どう守るかが大きな課題になる。

 IoTの仕組みは、ITとは異なる新しいものを想像しがちだが、上述した特徴からITの一部と理解した方がいい。そのため既存のITと同様に、ソフトウェアの脆弱性や認証の問題といったものが存在する。安全なネットワークも設計しなければならない。そして、安全性が担保されているかどうかを常に監視し、制御できるようなセキュリティ対策が必須となる。つまり、現在世の中で騒がれているサイバー攻撃への対策と同じような対策がIoTでも必須ということだ。

 IoTの内部構造もITと似通ってきている。従来は「制御系」など呼ばれる独自で特殊なシステム環境だった。しかし、Linuxなどの汎用OSへ置き換わりつつあり、ネットワークの通信も専用線からTCP/IPなどの汎用的なインターネット技術が利用されるようになった。現在の工場の制御システムなどは、ITシステムとの間に決定的な差がなくってきている。これは同時に、独自のシステム環境の壁に守られていた状況がサイバー攻撃の対象になりやすい状況になったということだ。ITシステムへの攻撃手法をIoTのシステムにも比較的容易に転用できるようになっている。

 だからといって、IoTの仕組みを以前の専用OSや独自プロトコルの通信に戻すのは、現実的ではない。汎用的なOSやミドルウェア、プロトコルなどが使われるのは、コスト削減だけが目的ではなく、クラウドコンピューティングなどを利用して以前なら不可能だった圧倒的なスピードで、かつ市場環境の状況に合わせて柔軟に変化できる新規システムを立ち上げられるからだ。このようなシステム環境でなければ、今後の世界で勝ち残っていくことは難しいだろう。

●IoTのセキュリティ脅威は未来の話?

 このようなIoTのセキュリティリスクを筆者が強く認識するようになったのは、2014年12月に日本で開催された情報セキュリティの国際会議「CODE BLUE」であった。この場で海外のセキュリティ研究者が自動車を実際にハッキングし、外部から自由に動かしている動画などを紹介した。

 この自動車のハッキングについては、CODE BLUE開催より前の2013年7月に、米誌Forbesで発表され、有名なニュースになっていた。筆者も一応は認識していたが、そんなことも環境によってはできるかもしれないと、恥ずかしながらその程度の認識だったのだ。

 しかし、CODE BLUEで実際にそのハッキングを行った本人の講演を聴いて、初めてその脅威を実感した。筆者以外のセキュリティ関係者も多数来場していたので、この講演が日本のセキュリティ業界にIoTセキュリティの脅威を強く認識させる出来事になったかもしれない。

 それでも、「IoTは未来の環境だから、セキュリティ対策もこれからだ」と思われる方がいるだろう。だが、現実はそれほど甘くはない。実はIoTと呼ばれる前から、機器に対するサイバー攻撃事例が多く発生しており、別段珍しいことではなかった。調査会社などが定義しているIoTの市場規模は、現在日本だけで数兆円と試算されている。その定義が本当にIoTなのかは別にして、IoTとされるような機器やシステムは、相当数が身の回りに既に実現している。

 IoTへのサイバー攻撃事件の中でも最大のものは、イランの核施設を標的とした攻撃で有名な「Stuxnet」(スタックスネット)だろう。スタックスネットは、ウラン濃縮用遠心分離機を狙った攻撃のために作られたワームと呼ばれるマルウェアの一種だ。このワームの侵入で実際に、核施設にある数千台の遠心分離機は稼働不能に陥ったという。米誌ニューヨークタイムスの報道によると、スタックスネットは米国安全保障局(NSA)とイスラエル軍の共同開発だとされる。元NSA職員のエドワード・スノーデンも独誌デア・シュピーゲルのインタビューで同様の証言をしている。

 スタックスネット事件以外にも、2013年頃からPOS端末を狙うマルウェア事件なども複数報道されている。このマルウェアは感染先のPOS端末からクレジットカード情報を盗み出し、その情報を攻撃者に送信する。このマルウェアのターゲットの多くは、Windowsを組み込んだPOS端末だった。

 その理由は、POS端末が先述したような世界で最も利用されている汎用的なWindowsシステムの環境になり、攻撃しやすくなったからだ。汎用的な技術は、その構造を知る技術者が多いということであり、攻撃者は既存のWindowsの構成や脆弱性を突く攻撃技術をそのまま転用できる。当たり前だが、攻撃者側にもWindowsのような汎用技術に関する知見者が多い。狙いやすいのは当然だ。

●部品の数だけ必要なIoTセキュリティ

 しかし、現在でもIoT機器の利用者はもちろん、製造元でさえ自社製品の脆弱性がサイバー攻撃の対象になることをほとんど想定していない。

 製品開発者は、その分野の機能や使いやすさ、安定稼働させるための品質に特化した技術は持っているが、サイバー攻撃の手法やセキュリティ対策の技術を持っているとは限らない。自動車や自動車部品の製造ラインの技術者が管理すべきは製品の品質であって、セキュリティではない。そんな技術要素の異なる畑違いのことを製造現場の技術者に要求するのは、そもそも無理というものだろう。

 IoTのセキュリティ対策をするなら、製品設計時からセキュリティを性能として考えた仕様にしなければならないし、販売した後もセキュリティの管理をできる仕組みにしておかなければならない。さらにいえば、それは部品レベルでも必要なことだ。

 これらを全てメーカー1社でまかなうことができればまだよいが、製造業は完成品メーカーだけで成立しているわけではなく、1つの製品の完成に無数の部品メーカーが携わっている。中にはモラルの低い部品メーカーも存在し、そうした企業が作る部品では、製造過程で既にマルウェアが混入していることも珍しくないという。つまり、そんな部品を使った完成品は、自ずと大きな脆弱性を内包していることになる。

 完成品メーカーは製品全体の品質だけでなく、数千~数万点にも及ぶ膨大な部品の一つひとつに責任を負わなくてはならない。それにはとんでもない手間とコストが必要だ。完成品はもちろんのこと、いずれ部品メーカーにも一定レベルのセキュリティ対策が義務となる日が来るだろう。

 こうみると、IoTのセキュリティ対策はその完成品を構成する部品の数だけ必要になってくる可能性がある。しかし、現在では具体的なセキュリティ対策の実装方法が確立されておらず、もちろんそのための製品やサービスが出そろっているわけでもない。なにより、それを実行するセキュリティ人材自体がいないのだ。例え人材がいても、その人材が対応できるセキュリティ対策はITの分野に限定されてしまうだろう。生産現場の技術者がセキュリティ技術を知らないように、セキュリティ技術者も製造現場や制御システム、生産ラインなどの技術を知らない。この溝をどう埋めていくかは、今後さらに大きな課題となるはずだ。

 なお、既に多くのIoT機器やシステムがサイバー攻撃を受けているが、攻撃者がマルウェアなどを使って核施設や大規模プラントにテロをしかけても、その施設が直ちに制御不能な状態にならないだろう。筆者が聞く範囲で、攻撃がそれらの施設の主要部分には到達していない。停止させられてもそれほど問題がない機器を停止させるか、その機器を他の機器やシステムに対する攻撃の踏み台にするくらいだろう。

 そして、それらの機器は攻撃を受けても「再起動するだけで簡単に復旧する」ものがほとんどだという。攻撃者がIoT機器を狙い、利用しているのは事実だが、それが非常に脆弱で攻撃しやすい対象だからだ。現時点では最低限の脆弱性の対策をするだけで、これらのリスクのほとんどは回避できるだろう。

 もちろん、これだけでもそれなりに問題かもしれないが、ほんの数年先に現実のものになるかもしれないIoT全盛の世界には、これよりもっと大きなリスクが満ちている。まずIoTの利用が劇的に拡大するのは間違いない。そして、IoTが世の中の津々浦々になくてはならない時代になれば、現時点で表面化している一つひとつの小さなリスクが積み重なり、ついには臨界点を迎えて一気に爆発的な被害を引き起こすかもしれないのだ。できるならIoT機器の放置が習慣化していない今のうちに、自分の所有している機器の最低限のセキュリティ対策とその管理はしておいた方がよいだろう。

 このようにIoTは、世の中が飛躍的に便利になる可能性を十分に持ちながら、その手前にセキュリティをどう保つかという大きなハードルを越えなくてはならない。次回は、さらにこのIoTのセキュリティを追求していく。

●武田一城(たけだ かずしろ)
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

最終更新:9/29(木) 12:52

ITmedia エンタープライズ