先週行われた、ハノーバーメッセ。製造業関係の方は記事を読んでいただけただろうか。
ハノーバーメッセレポートはいかにまとめてあるので見逃している方はぜひ読んでみてほしい。
https://iotnews.jp/hannover-messe2018
ところで、先週のPremiumでは、展示から見える製造業の今後について記述した。今回は、スマートファクトリーの話ではなく、「製品としてIoTを取り入れる際のその注意点」について考察したい。
この点について、今回のハノーバーメッセで私が最も注目したのは、マイクロソフトのAzure Sphereだ。これは単にマイクロソフトがチップを自社で提供するという話題性に関する話だと解釈をしてはいけない。
実は、製品メーカーがIoTを取り入れる際に、今後必須となる「脆弱性対策」つまり「セキュリティ」に対する考え方として重要なのだ。
ではなぜ、このAzure Sphereに注目したのか、そしてメーカー企業がこの動きに注目しなければならないのかを解説していこう。
問われるセキュリティ
2016年に発生したMiraiに端を発する、端末の脆弱性の問題。これまで製品にマイコンチップが搭載されている場合、マイコンチップ自体の脆弱性についてはあまり話題にあがることはなかった。
Miraiにおいて、侵入されるのはOSのレイヤーで、最近はLinuxベースのものも多いのだが、初期パスワードを変えずに初期設定のまま、製品に搭載されていた。そして、例えばネットワークカメラのように、ネットワークに常時接続することが前提の製品の場合、ネットワーク経由でのカメラへのログインが簡単に行えてしまうのだ。
一つの製品にログインできたら、世界中の同種の製品にはまずログインできてしまうし、ログイン後はパスワードを変えて持ち主も簡単にはログインできないようにしてしまうのだ。
恐ろしのは、消費者は、そんなずさんな設定がされているとはつゆ知らず購入した製品を設置して、インターネットに接続して満足しているということだ。
この手の脆弱性を抱えるカメラへの侵入によって、映像が外部に公開されてしまったり、それをきっかけに宅内のネットワークに侵入するというケースもあるという。
また、工場のようなインターネットから断絶された環境を作っている場合でも、工場内で動いている産業用PCをアップデートしようとしてUSBをさす。USBの中にウイルスが混入していた場合、そのPCを起点にして工場内も汚染されるのだ。
インターネットにつなげていないからといって必ず安全とは限らない。
そもそも、OSというものは、通常いろんなネットワーク接続にも対応できるようになっている。ファイルをアップロードしたり、リモート制御を行ったりすることができるのも当たり前のコトだ。一方で、こういったOSに対する侵入を防ぐにはパスワードを変えたり、使っていないプログラムは立ち上がらないようにすることを最低条件とした上で、プログラムに脆弱性がないようにすることがインターネットの世界では当たり前に行われている。
しかし、これまでインターネットへの接続を前提としてこなかったメーカーからすると、急に脆弱性と言われても、何をして良いか、からわからないのも当然だ。
セキュリティ対策済みのものを導入する
そこで、セキュリティ対応済みのものを導入するコトとなる。パソコンにアンチウイルスソフトを導入するのと感覚的には似ている。ウイルスの挙動は素人には到底わからないので、対応済みのソフトに任せようという考え方だ。
これで、OSレベルの問題は一旦守れるのだが、インターネットの脆弱性への取り組みはいわばイタチごっこで、とどまるところを知らない。
しかも、IoTが普及しだして以降、チップセット自体に書き込むプログラムに脆弱性があると、チップ時代が誤動作するという可能性が出てきているのだ。
チップというと馴染みがないかもしれないが、多くはデバイスを制御するときの頭脳として機能するので、ここが侵されると当然動作がおかしくなるのだ。
OSのレベルでもよくわからないのに、チップのレベルまで考えろと言われると、正直メーカーからすると気が狂いそうになるだろう。
そこで、先日ハノーバーメッセのレポートで紹介した、マイクロソフトのAzure Sphereが注目されるのだが、その特徴は、「セキュリティ性」「10年間の保証」であると書いた。
メーカーにとって必要なセキュリティとは
ここで、そもそも初めの問いに戻るが、「メーカーにとって必要なセキュリティとは何だろうか。」
例えば自動販売機を作っているメーカーからすれば、缶ジュースをうまく出し入れする機構は考えるかもしれないが、コインを投入するところは別の企業の製品をつかっているかもしれない。偽造コインを含め、コインを正確に認識し、今いくら投入されたかを知るのだ。さらに購入後はお釣りを返さなければならない。
また、缶ジュースの残量も正確に測定できなければならない。なぜなら、缶ジュースがなくなりかけたら詰めに行くというオペレーションにしていかなければ、ただでも人不足なうえに、人件費がかさんで仕方がないからだ。ここも、外部の仕組みを導入する可能性は高い。さらに、クラウド上に吸い上げられた缶ジュースの残数を可視化し、必要に応じて通知をするという仕組みはソフトウエアベンダーに作ってもらう必要があるかもしれない。
つまり、缶ジュースの自動販売機一つとっても、多くのベンダーの技術を持ち寄る必要があるのだ。
しかし、ジュースメーカーからすると、自分たちは安心だと思って組み立てただけの部品に脆弱性があって、一度問題が起きれば、「某メーカーの自動販売機が誤動作」という文字がメディアを賑わすコトになるのだ。
特に、メカ(この例だとジュースが正確に一本だけ出てくるような機構)に精通しているメーカーからすると、インターネットを介して残数を把握し、必要に応じて補充要員にクラウド経由で連絡するなんて、どうやって作ったら良いか想像もつかない。ましてや、そこに潜む脆弱性まで考慮するのは、難しいだろう。
つまり、メーカーにとって必要なセキュリティとは、「部品レベルでセキュリティが保証されていること」「製品の耐用年数におけるセキュリティをその期間保証し続けてくれること」が重要となるのだ。
前述した通り、インターネットのセキュリティ対策はイタチごっこである。特に、製品の耐用年数を通してセキュリティが保証されないサービスは利用したくない。
クラウド企業から見た製造業のセキュリティ
一方、クラウド企業から見たらどうだろう。単純にチップレベルのセキュリティを担保しようと、チップを仕入れてくれた企業ごとにセキュリティ対策をしたソフトウエアを、独自のクラウド上にインストールするのだろうか。
そんなことをやっていたら、ソフトウエア間の連携において、別の脆弱性ができるかもしれないだろう。
つまり、クラウド側を作るソフトウエア企業も、クラウドサービスの基本的なレイヤーでこのデバイス上、そしてデバイスとクラウドの間の脆弱性が担保されるサービスを利用する必要があるのだ。
クラウドサービスでよく使われるAWSは、AWS IoTというモジュールがあり、これに接続するにはデバイス側に証明証と呼ばれるクラウドサービスとデバイスの間を1対1で認証する仕組みが必要とされている。つまり、通信の部分以降、クラウドに上がる(もしくは逆も)部分のセキュリティは担保しようという考え方だ。
しかし、これではデバイスのOSやチップレベルでの脆弱性を防ぐことはできないことがある。そこで、FreeRTOSというOSやGreengrassと呼ばれるOS上で動くミドルウエアを提供しこのあたりに対応しようとしている。しかし、まだOSレベルの対応だ。

そこで今回私は、マイクロソフトのAzure Sphereに注目をしたのだ。これは、チップレベルでセキュリティを担保し、当然OSや通信レベルでもセキュリティを担保するものだからだ。
このセキュリティ性の部分については、昨年すでにARMが同じようなコンセプトとなる「PSA」を打ち出している。これ自体、マイクロソフトもAWSも支持しているもので、こういった動きは必須だっといえる。
ちなみに、PSAはPlatform Security Architectureの略で、ARM CortexプロセッサとよばれるプロセッサをベースにしたSoC(System on Chip)でのIoTセキュリティの強化を目指している。
ARMからすれば、2016年に世界を賑わした、Miraiに代表されるウイルスやハッキングに対する対策をしていかなければならないという社会要請もあって実現しているのだが、こういったチップレベルでのセキュリティを考えることは、ここまで書いてきた通り、特に製造業の作るプロダクトにどのチップを搭載するかを検討する際重要になる。
一方、技術レベルでセキュリティが担保されていても、今回のマイクロソフトのように「長期のメーカー保証」がされないと、一度搭載したチップは取り替えられるコトなく長く使われる可能性があるので、おいそれと自社製品に取り込むコトができない。
これまで、「もの」づくりを一所懸命やってきた製造業にとってみれば、単に仕入れて、組み込んで、集荷すればよかった部品が、ネットワークやクラウドサービスを含む十分なセキュリティ対策を施した部品を選択していかないと、今後はハッカーの標的となり、自社製品を購入してくれた顧客の生活を脅かす可能性すらあるのだ。
無料メルマガ会員に登録しませんか?

IoTNEWS代表
1973年生まれ。株式会社アールジーン代表取締役。
フジテレビ Live News α コメンテーター。J-WAVE TOKYO MORNING RADIO 記事解説。など。
大阪大学でニューロコンピューティングを学び、アクセンチュアなどのグローバルコンサルティングファームより現職。
著書に、「2時間でわかる図解IoTビジネス入門(あさ出版)」「顧客ともっとつながる(日経BP)」、YouTubeチャンネルに「小泉耕二の未来大学」がある。