「真正性」「ライフサイクル」「サプライチェーン」で読み解くIoTセキュリティ動向―サイバートラストオンラインセミナーレポート1

2020年5月14日、サイバートラストはオンラインセミナー「押さえておきたい!IoT機器のセキュアなライフサイクル管理とは」を開催した。このセミナーでは、IoT機器、組込みシステムの開発担当者に向けて、IoTセキュリティに関する国内外の最新動向や、製品ライフサイクル全体におけるセキュリティ管理を行うソリューションが紹介された。

本稿では、一般社団法人セキュアIoTプラットフォーム協議会 事務局長 白水公康氏によるセッション「IoTセキュリティ最新動向」についてレポートする。

市場にある70%のIoTデバイスがセキュリティに脆弱性を抱える

まず、白水氏はIoTデバイスが増大していること、それに伴いセキュリティ攻撃のリスクが拡大している現状を述べた。

総務省が発行する「令和元年版 情報通信白書」によると、世界のIoT機器数は年平均で14.8%増の成長を見せており、2020年には394億台まで伸びると予測される。白水氏の言葉を借りれば、IoT機器そのものが社会を支えるインフラになりつつある、と言える。

IoT機器のセキュリティの脆弱性が、ミッションクリティカルなシステムに脅威を与えるケースが出ている
IoT機器のセキュリティの脆弱性が、ミッションクリティカルなシステムに脅威を与えるケースが出ている

一方、ネットワークセキュリティに関して、市場にある70%のIoT機器が脆弱性を抱えている、と言われている。そして、ヘルスケア、交通といった、人命に関わるインフラについて、システムの停止や乗っ取りといったインシデントが発生している。また、政府の側でも「重要インフラの情報セキュリティ対策に係る第4次行動計画」を発表し、情報通信や金融といった重要インフラ14分野について、特にセキュリティ対策をすべきとの方針を打ち出している。

さらに、東京オリンピックを控えている日本については、特にセキュリティ攻撃に対して注意しなければならない、という事を白水氏は付け加えた。

IoTデバイスが狙われる5つの理由

何故IoTデバイスはセキュリティ攻撃に狙われるのか。白水氏は以下の5点を理由として挙げた。

常時接続

街中に設置された監視カメラのように、365日24時間ネットワークに接続されている。

脆弱性

十分にセキュリティ対策が取られていないデバイスが多い事が、IoTデバイスの1つの特性である、と白水氏は語る。

低コスト

セキュリティ攻撃を行う側からすれば、IoT機器をボット化してDoS攻撃をかける事は、既存のPCや通信デバイスよりもやり易く、費用対効果が高いという。

管理者の不在

誰も見ずに放置されているデバイスが多いほか、アップデートされていない製品やアフターサービス整備されていない製品が多い。

長期利用

IoT機器は一旦設置されると長期に渡って利用される事が多いが、使い終わった機器を放置した状態にする「野良IoT」が増加している問題がある、と白水氏は指摘した。

サイバーセキュリティに関する国際的動向

では、危機が増大するIoT機器へのセキュリティ問題について、世界ではどのような対応を行っているのか。それについて、セミナー内ではサイバーセキュリティに関する国際的な動向について説明があった。

サイバー攻撃による知財の窃盗や不当な技術移転を、米副大統領が問題視

2018年10月、保守系シンクタンクであるハドソン研究所に米国のペンス副大統領が対中姿勢を打ち出した演説を行った。この演説の中でペンス副大統領は国家安全保障の観点において、サイバー攻撃による知財の窃盗や不当な技術移転の問題を指摘している。これが副大統領の演説を「新冷戦」と報道する動きや、ファーウェイ排除につながっている、と白水は述べた。

国際関係におけるサイバーセキュリティへの言及例
国際関係におけるサイバーセキュリティへの言及例

プラハ5G会議から読み取れる、セキュリティへのグローバルな連携姿勢

2019年5月、チェコにおいてプラハ5G会議が開催された。その議長声明のなかで、サイバー攻撃のリスク回避に向けて各国が連携を深める、という文言が含まれていた。声明については、アメリカ、日本、EU、NATO加盟国の約30ヶ国が合意している。さらにこの声明では、技術的な要件として、IoTの真正性の確保、運用時に脆弱性を早期に発見し、修正プログラムを提供することによってライフサイクル管理を行う事が盛り込まれている。

この声明については、サイバーセキュリティの問題が一国で解決するものではなく、グローバルで連携して対応すべきという認識になっている事を捉えるべき、と白水氏は解説した。

大阪G20、東京B20でもセキュリティ管理の必要性が指摘される

2019年6月、大阪にG20が開催された。ここでは「Society5.0 for SDGs」がテーマに挙がっていたが、この実現にはサイバーセキュリティがベースとして必要であることがサミット内で改めて確認された。

また、G20に先立ち2019年3月に開催されたB20東京サミットでは、グローバルサプライチェーン全体のサイバーセキュリティのリスクを管理するため、一貫性かつ相互運用可能な枠組みの開発が必要である事が指摘された。

国際動向から読み取る、IoTセキュリティのキーワード

白水氏はサイバーセキュリティに関する国際動向を述べた後、その動向から読み取れるIoTセキュリティに関するキーワードを提示する。それは、グローバルサプライチェーンにおいて安全性が担保されない、身元がはっきりしないIoTデバイスを「作らせない」「持ち込ませない」「繋がせない」という事だ。

さらに、白水氏はこのキーワードを、具体的なセキュリティ要件に落とし込んだ上で、ポイントを3点説明した。

デバイスの真正性の確保と識別

IoTデバイスがなりすましではない本物であることを証明する、あるいは正しいデバイスのみを認証する必要があるという。

ライフサイクル管理

IoTデバイスが設計・製造され、市場に投入されて廃棄されるまでのサイクルを確実に管理すること。特に「野良IoT」の発生を防ぐためには、廃棄というフェーズが重要である、とセミナー内では指摘があった。

サプライチェーン管理

IoTデバイスの製造、利用は一国で留まる話ではない。したがって、国際協調の中でサプライチェーン全体を守っていく必要がある、と白水氏は述べた。

次ページは、「サイバーセキュリティに関する国際標準化

Previous

DNP・ゲオHD・JCB、バーチャルプリペイド「ゲオペイ」の開始に向けて基本合意契約を締結

三井不動産とKDDI、5Gを活用したオフィスビルのDXを目指し基本合意

Next