株式会社ウフルのIoTイノベーションセンターが事務局を務める「IoTパートナーコミュニティ」。
IoTにより実現される「全てがつながる世界」を目指し、コミュニティのメンバー企業が相互に協創しながら、オープンイノベーションを通じてビジネスを創出することを目的としている。
IoT×AIや物流やヘルスケアなど7つのWGのうち「セキュリティ」をテーマとして活動しているコミュニティメンバーにより、「行政の動向と最新のIoTソリューション活用事例」題したIoTセキュリティセミナーが4月24日に開催された。
第2部ではWGメンバー企業を中心にIoTセキュリティに関するソリューションや活用事例について紹介された。
トレンドマイクロのクラウド連携型組込みデバイス向けセキュリティ
トレンドマイクロ株式会社 IoT事業推進本部 IoT事業開発推進部 技術推進グループ シニアマネージャー 原 聖樹 氏からは、IoTセキュリティの脅威に関する動向とその対策として活用できるIoTデバイスに利用するソリューションについて説明された。
今までのトレンドマイクロのセキュリティ対策ソフトは、エンドユーザーが自ら買って機器に導入するものが中心だったが、このTREND Micro IoT Security(TIMS)は、IoTデバイスのメーカー側にOEM的に提供して、IoTデバイスに導入してもらうモデルとなっている。
「Trend Micro IoT Security Agent」をIoTデバイスにインストールすることで、IoTデバイスの入口では、すでにトレンドマイクロが持っているブラックリストをもとに接続元のIPアドレスをブロックし、また脆弱性をつく攻撃が来た場合もブロックすることができ、これで9割がたの一般的な攻撃はブロックできるとのことだ。
また万が一機器内に不正なマルウェアソフトが入ってしまった場合は、最初にデバイスに入っていたプログラムしか実行できないよう制御されるため、不正なソフトの実行を阻止することができる。さらには出口でも対策がされており、デバイスが外のサーバにアクセスをしようとした場合も、すでにトレンドマイクロが過去から集めてきている不正サーバのブラックリストと照合してアクセスを防止することができるとのことだ。
次ページは、「ゲートウェイから安全にデータを収集できるHULFT IoT」
ゲートウェイから安全にデータを収集できるHULFT IoT
株式会社セゾン情報システムズ HULFT事業部 HULFT IoT プロダクトマネージャー 樋口 義久 氏 からは、IoTシステム構成とセキュリティ課題についてや、「ノンプログラミングで実現できるミッションクリティカルIoTソリューション」と題して、HULFT IoT とDataSpiderを組み合わせたソリューションについて解説された。
HULFTはファイル転送ソフトウェアとしては日本のシェア8割を超えており、日本の全銀行協会の会員銀行にすべてに導入されていることをご存知の方も多いだろう。IoT版である「HULFT IoT」は、IoTデバイスとの安全に確実なデータ転送を実現するソフトウェアだ。これにDataSpiderを組み合わせることで「ノンプログラミングによる開発生産性の向上や運用管理負担の削減」が実現される。
また、データ圧縮機能も優れているため通信コスト削減でき、製造業では3G/LTE環境下のゲートウェイ機器に活用されるケースが多いとのことだ。
あいおいニッセイ同和の、IoTセキュリティのリスクに対応した事業者向け保険
あいおいニッセイ同和損害保険株式会社 金融法人第二部 営業第二課 課長補佐 古賀 俊輝氏からは、IoTビジネスにおけるリスクマネジメントとリスクに備えた保険サービスについて解説があった。
様々なセキュリティ対策をすることでリスクの低減をすることはできるが、万が一の時に、経済的損失という不利益を被る可能性を拭いきることは困難だ。
人命に関わるIoT機器として、ある薬剤自動点滴装置ではハッカーにより沿革からハッキングして操作できることが実証されていたり、心臓ペースメーカーが悪意のある第三者に動作を改変される可能性がありアメリカで46万台がリコール対象となったなどの事例もあるという。
保険会社から見たIoT事業者のリスクを細分化した場合、まず「製造事業者として賠償リスク」と「IT事業者として賠償リスク」に分けられる。さらにそれぞれに「対人・対物リスク」と「経済的損失」に分けられる。(上図)
あいおいニッセイ同和損害保険ではこれらの第3者への賠償リスクを総合的にカバーする保険サービスを提供しているとのことだ。
アットマークテクノの、IoTセンサーのセキュアなオープンソースプロジェクト「Degu」
株式会社アットマークテクノ 代表取締役 實吉 智裕 氏からは、クラウドエンジニア向けのIoTセンサーのオープンソースプロジェクトであるDeguについて解説された。
「そもそも、データを集めて、その集めたデータを使って、新たな価値やサービスを生み出すというのがIoTの考えられ方である。しかし現状はあまりIoTセンサーがないためデータが集まっていない。そしてデータが集まていないためIoTが進化していないと感じている。」とDeguの立上げの背景について話した。
また、「IoTセンサーの要素技術には、マイコン、センサー素子、リアルタイムOS、通信プロトコル、無線技術、セキュリティとある。これらは要素技術としてはすでに世の中にあるのだが、各要素技術を合わせて使える状態になっていない。つまりこれらを組合わせて一つにする“ヒト”や“しかけ”がないことが、世の中にIoTセンサーがない(絶対数が少ない)と捉えてる所以であり、これを解決するのがDeguである」と説明した。
Deguの特徴は大きく4つある。まずセンサー機能としては、中国の深圳のSeeed社と連携しており、彼らの持つ200種類を超えるGroveモジュール群の中から安価にセンサーを選べることができる。通信機能としては無線メッシュネットワーク規格「Thread」に対応しているため省電力を実現している。次に、エッジコンピューティングとしてエッジで様々な処理を行うことができるのだが、これにはPythonを使えるためクラウドエンジニアでも簡単に扱うことができる。さらにはDeguにはセキュアエレメントを搭載しており、そこに証明書や秘密鍵を格納し正しいデバイスであることを認証したうえでデータ通信が行うことができセキュリティ面もケアされている。
また、試作したセンサーは安価に量産をすることができるスキームも用意されている。
次は、「YE DIGITALの工場向けIoTセキュリティソリューション「MMsmartSecurity FS-Eye」」
YE DIGITALの工場向けIoTセキュリティソリューション「MMsmartSecurity FS-Eye」
株式会社YE DIGITAL マーケティング本部 事業推進部 課長 寺西 輝高 氏からは工場向けのセキュリティ対策について解説された。
一年以内に感染した経験をもつ工場は約40%、そのうち半数が稼働停止経験があるというアンケート結果があり、工場のへセキュリティ対策の必要性は年々高まっている。
スマート工場を実現するための「見える工場」「つながる工場」「止まらない工場」の3つの条件を実現しようとすると、ネットワーク化されたIoT・AIを活用しながら生産性の効率を図っていくことになる。このようにネットワーク化が進むと、便利さも実現する一方、リスクも増えていくことになる。
また、工場のセキュリティ対策をするには、かなり独特な習慣からくる課題があるという。例えば「生産効率に関わることにはお金をかけられるけど、セキュリティ対策には使えない」「なにかソフトウェアを入れるにしても、それが生産に影響を及ぼす可能性があるので入れたくない」や「そもそもレガシーOSに対応したソフトはほとんどない」などである。
YE DIGITAL社は、そのような工場に合ったサイバーセキュリティ対策製品を作ろうということで、トレンドマイクロ社と連携し「工場の環境を変えない」「インターネットを使わない」「監視・管理を一元的に」を備えた、不正通信監視サービス 「MMsmartSecurity FS-Eye」を開発した。
このソリューションは、既存のネットワークに接続するだけなので、設備変更が不要で導入できる。通常ラインを束ねるL2スイッチといった機器のミラーポートつなげると、携帯電話の閉域SIMを使ってインターネットを使わずにクラウドへデータが収集され、これによりセキュリティインシデントの早期発見と状況把握が一元的にできるようになるといったものである。
グローバルのセキュリティ認定基準の動向
株式会社ウフル IoT x enebularビジネス開発本部 副本部長 竹之下 航洋 氏からは、グローバルで見た時のIoT機器のセキュリティ認定基準の動向およびリアルな顧客からどのような要望が上がっているかについて解説された。
米国IIC(Industrial Internet Consortium)はIoT Security Maturity Model:Practitioner’s Guideとして、コネクテッドシステムを保護するためのSecurity Maturity Modelのコンセプトアプローチを策定し、ここでは、組織のセキュリティの優先順位と必要な到達レベルが明らかにされている。この講演の中ですべてを解説するは困難であるとして、竹之下氏からは概要のみ解説された。
Security Maturityのドメイン、サブドメイン、プラクティスの三層構造モデルの考え方がある。
また、Maturity Modelとして、一般的なユースケースを対象にしたLevel1、特定のインダストリーをスコープとしたLevel2、特定の組織をスコープとしたLevel3といったScope Level 1~3と、Comprehensive Levelとして対策レベルとして「何もしていない」leve0から、「実装し、継続的なサポートやセキュリティ対応のプロセスまできちんと定義された状態」であるlevel4までモデル化がされており、まずは自社がどこまでできているのかをアセスメントするところから始まる。
次に、セキュリティ対策としてあるべきところの目標を定めて、現状とのギャップ分析を行い、ロードマップを描いて対応をしていくというアプローチを行っていくことが必要になってくる。また、「セキュリティ対策というのは実はプロセスである」というのが、IICの考え方の一つの特徴であると解説した。
原文PDFはこちらからDL可能
IoT Security Maturity Model:Practitioner’s Guide
また、過去顧客からあったセキュリティ対応に関するリクエストは、「閉域網にしてほしい」「ITシステムのセキュリティ基準しかないので、それに合わせてほしい」「要求は特になし」などと、非常にセキュリティ対策への意識の低さがうかがえる。そのためインテグレートする際には、こちら側で定義をして提案をしてあげなければならないという状況が続いているとのことだ。
そのうえで、事業者が「今」やることは、「ベンダーが言うことを鵜呑みにしないで事業者側できちんとアセスメントを行えるようになること」、「2020年までには総務省のパートであったような「必要最低限」の対策を実施すること」、そして「最終的にはロードマップを作って何年かかけて、IoTセキュリティのあるべき姿までもっていくことが重要だ」と指摘して講演を締めくくった。