「人もモノ」と考えると見えてくるIoTセキュリティ! 意外と知らないIoTの基礎知識#04 | RBB TODAY

「人もモノ」と考えると見えてくるIoTセキュリティ! 意外と知らないIoTの基礎知識#04

IT・デジタル セキュリティ

今回の取材に協力してくれた(左から)ニフティの加瀬氏、シマンテックの山内氏、柳川氏、小泉氏の4人(撮影:防犯システム取材班)
  • 今回の取材に協力してくれた(左から)ニフティの加瀬氏、シマンテックの山内氏、柳川氏、小泉氏の4人(撮影:防犯システム取材班)
  • 「常時安全セキュリティ24プラス」で採用されているセキュリティ対策のイメージ図(画像提供:ニフティ)
  • 似ているようで異なる部分も多いITとIoTの問題対処の相違点(画像提供:シマンテック)
  • IoTの普及に伴い想定されるリスクへの注意すべきポイント(画像提供:シマンテック)
 今、注目の技術である「IoT」をテーマに、技術自体の理解を深め、安全に使うための知識を紹介していく連載コラム「意外と知らないIoTの基礎知識」。第1回第2回では、IoTに関するさまざまなリスクを紹介し、第3回ではリスクへの対応策となるニフティの「スマートサーブ」を紹介してきたが、今回はスマートサーブの関連サービスとしてより強固なセキュリティを実現する「常時安全セキュリティ24プラス」を出発点にセキュリティベンダーから見たIoTセキュリティについて話を聞いてきた。

 今回、解説をしてくれたのは、「常時安全セキュリティ24プラス」のクラウド型セキュリティ対策において技術提供している、シマンテックの山内正氏を中心に、同社の柳川純二氏、小泉知之氏、すっかりおなじみのニフティの加瀬正樹氏の4名。

●検問所的な役割を果たすセキュリティセンター

 加瀬氏によれば、そもそも「常時安全セキュリティ24プラス」は、クラウド型セキュリティとクライアントソフトウエアによる保護の2つの方法で安全性を担保しているという。

 そのなかでシマンテックは、クラウド型セキュリティ対策として「ウイルススキャン」と「安全評価機能」という2つの技術提供を行っているそうだ。

 2つの技術は、スマートサーブセンターと呼ばれるクラウドサーバー内にあるセキュリティセンターで採用されており、まず、「ウイルススキャン」は文字通り通信データを解析してウイルスに感染していないかをチェックする技術。

 続いて「安全評価機能」は、同社が全世界から収集した膨大なサイバー脅威情報を活用し、インテリジェンス的な見地で外部からのアクセスを評価し、リスクが高い通信を遮断するなどの対応を行う機能だと、山内氏は解説する。

 スマートサーブを解説する際の例えとして、VPNをトンネル、暗号化を現金輸送車と説明してきたが、シマンテックの技術が採用されているセキュリティセンターは、中間地点に設置された検問所のような役割を果たすと言える。ちなみに同じ例えで「ウイルススキャン」は積み込む荷物が安全かどうか、「安全評価機能」は現金輸送車の業者や乗り込む運転手が危険人物かどうかを判断するための技術と言えるだろう。

●ITセキュリティと異なる点と共通する点

 IoTセキュリティというと、全く新しいセキュリティの概念と素人考えでは思ってしまうが、基本となる「インターネット上に存在する脅威に対応する」という部分は、パソコンなどにおけるITセキュリティと共通する。

 ただ、決定的に違う点は、セキュリティ対策をすべき範囲の広さと対象の複雑さ・多様性だと山内氏はいう。

 例えば、ある企業がパソコンのセキュリティ対策をしようとする場合、多くても数万オーダーの対応で済むところ、IoTでは、末端の各種センサーまで守備範囲になってくるためオーダー数はケタ違いになり、従来のITセキュリティと同じ手法では限界がある。

 また、パソコンなどで使うインターネットなら、TCP/IPといった限られた通信方式(プロトコル)により、異なるベンダーのパソコン、OSにおいても相互に通信できるようになっているが、IoTの場合は、実にさまざまなプロトコルがあり、各プロトコルに合わせた個別のセキュリティ対策が必要になる。

 ほかにも、パソコンと比べて、IoT機器に組み込まれるOSやチップなどの種類は多く、一様なセキュリティ対策ができない点、パソコンなどと違い、一度システムに組み込んでしまうとネットワーク経由のセキュリティのアップデートが難しい機器が多い点など、IoTならではの課題があると山内氏は指摘する。

 そうしたなかで、対策の1つとなるのが、クラウド型セキュリティなのだそうだ。個別のセキュリティ対策が難しいなら接続の要衝となるネットワークやその先のクラウドサーバーのセキュリティを強化することで、安全性を担保しようという考えだ。

●人の生死にもかかわりかねないIoTの乗っ取り

 ではIoTのセキュリティをおろそかにするとどうなるのか? 基本的にITセキュリティと同じく、乗っ取りやウイルスなどによる“機器の制御不能”といったリスクが考えられると山内氏は言う。

 ただし、IoTの場合は、制御不能になるのは、パソコンだけでなく、より広範囲となり、道路の交通信号や発電所、医療機器など、人の生死に関わる物理的な被害に直結する機器・施設も対象となるため、それらが機能不全に陥った場合の被害のレベルがケタ違いになりうるのだ。

 よく映画などで“公共インフラに対してサイバー攻撃により大きな被害をもたらす”とテロリストたちが脅しをかけるシーンを目にするが、IoT化が今後さらに進んでいけば、現実にも十分に起こりうる事態だと山内氏は指摘する。

●「人もモノである」という認識から始まるIoTセキュリティ

 最後にIoT時代の到来を前に、我々エンドユーザーが気をつけるべき点を山内氏に尋ねたところ、「“人もモノである”という考えをもつことです」という回答をもらった。

 IoTは、和訳すれば「モノのインターネット」。モノというと、センサーやカメラといった機器を連想するが、各種センサーを搭載したウェアラブル端末やスマホ、タブレットを持ち歩く人も、知らず知らずのうちにIoTの世界に組み込まれていることになる。つまり、「人」もセキュリティ対策をすべき対象であり、IoT環境での新しい「オレオレ詐欺」も出現することが予想される。 「信じやすく騙されやすい人は、重大な脆弱性」になりうるということを認識してほしいと山内氏はいう。

 実際、パソコンの世界でもセキュリティ対策ソフトの更新をユーザーが怠ったために脆弱性を生んでしまうケースは少なくない。また、物理セキュリティの世界でも、玄関や窓の無施錠が、窃盗被害の原因の上位となっている。もしユーザーに一定のセキュリティ意識があれば、簡単に防ぐことができる被害なのだ。

 今後、ITからIoTへとステージは変わっても、リスクとセキュリティ対策の関係性はいたちごっこのような一進一退の状態で推移していくだろう。そうした中で、IoTの安全を保つためのカギとなるのが、IoTを利用する側である「人」のセキュリティ意識の有無だということを、今回の取材で教わった。

 便利なだけでなく、安全なIoTを実現するには、サービス事業者、機器メーカー、セキュリティベンダー、そしてエンドユーザーがそれぞれの立場でできるセキュリティ対策が必要になってくる。そしてIoTセキュリティの世界でも、物理セキュリティやITセキュリティと同様に最終的な安全のカギを握るのは人間だということは絶対に忘れてはいけない。

 次回は、IoTの未来を考える上で大きなヒントとなるニフティIoTデザインセンターについて紹介していく。
《防犯システム取材班/小菅篤》

編集部のおすすめ記事

特集

page top