日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

台数が急増しているとともに、社会インフラを構成する主要な要素としても使われ始めたIoT(モノのインターネット)デバイス――。そのセキュリティの確保は、すでに社会的・国家的な課題となっている。そのために欠かせないのが、IoTに関わるステークホルダー間の連携。産官学のパネリストが安全なIoT社会の実現に向けた課題について議論した。

モデレータ:
日本経済新聞社
編集委員(バンコク駐在)
小柳建彦 氏

 IoTデバイスの急激な増加とともに、ますます高まるセキュリティの重要性――。モデレータを務める小柳建彦氏(日本経済新聞社)の「IoTに関わるステークホルダーは、どのようにセキュリティを高めようとしているのか。様々な立場から議論していきたい」という発言で始まった。

 総務省の谷脇康彦氏は、2017年10月3日に発表された同省の「IoTセキュリティ総合対策」を解説するかたちで、「IoTシステムを、『デバイス』『ネットワーク』『プラットフォーム(分析)』『クラウド(サービス)』という4つのレイヤーで考え、まずはIoTデバイスの脆弱性対策として、情報共有や試験用のインフラ整備、認証制度等の検討をスタートさせました」と紹介。

 横浜国立大学の吉岡克成氏は、「マルウェア感染したIoTデバイスが、500種類以上、総数90万を超えて存在し、弱いID/パスワード管理が利用されていることが判明。また別のプロジェクトでは公共インフラのコントロールシステムに認証が無いインフラが散見されました」とショッキングな報告をした。

 また、パナソニックの齋藤孝弘氏は「製品の開発・製造段階から、ライフサイクル全体を通して、脆弱性診断やインシデント(セキュリティ上の事件・事故)レスポンス等の体制構築を進めています」と述べ、さらに半永久的な修正パッチの提供は現実には難しく、また国の認証(=Certification)制度ができたとしても、そのコストを製品価格に反映すると、認証のない格安の海外製品と比較され、製品競争力への影響が懸念されると課題も述べた。

 NTTセキュアプラットフォーム研究所の大久保一彦氏は、「攻撃者に乗っ取られたIoTデバイスから発するDDoS(分散型サービス妨害)攻撃等も大きな問題となっており、欧州の通信キャリアや米国のDNS(ドメイン名システム)サービスでも大規模な障害が発生しました。一社では対応しきれない問題となってきているので、関連事業者で連携して情報共有や対応を検討する必要があります」との見解を示した。アマゾンウェブサービスジャパンの岡嵜禎氏は、「IoTの役割がデータ収集・可視化からデバイスの制御にシフトしている今、セキュリティ対策がこれまで以上に求められています。もはやサーバー側だけの認証(=Authentication)だけではなく、デバイス側との相互認証の仕組みが必要ではないでしょうか」という点を指摘した。

スピーカー:
総務省
政策統括官(情報セキュリティ担当)
谷脇康彦 氏
パネリスト:
横浜国立大学
大学院環境情報研究院
准教授
吉岡克成 氏

 トレンドマイクロのエバ・チェン氏は、「IoTセキュリティは、システム全体を俯瞰した『フルレイヤーでの対策』『情報技術(IT)と運用技術(OT)の両面での安全対策』『攻撃のねらいが金銭に変わっていること』の3つの観点が重要です」と指摘した。

ステークホルダ―間の連携なしではIoTは安全にならない

 では、IoTデバイスの安全性を維持するために、今、何ができるのか――。

 「デバイス出荷時の脆弱性対策は既に実施しているので、ID/パスワードの強化策として最初の通電時にユーザーがユニークなパスワードを設定しなければいけない仕組みにする」ことや、「使用していない機能をオフにしたり、未使用の通信ポートをふさぐ」ことも重要だ、と齋藤氏。またユーザー側の、「IoTデバイスに対するセキュリティの認識が低いことも課題であり、継続した啓蒙が必要」(チェン氏)といった意識の底上げが不可欠という意見もあった。

パネリスト:
パナソニック
製品セキュリティセンター 所長
齋藤孝弘 氏
パネリスト:
NTTセキュアプラットフォーム研究所
所長
大久保一彦 氏

 一方、通信事業者が“異常な通信”を制限したり、ブロックすることは現実には難しそうだ。「『電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン』で示されるとおり、現在はDDoS等の異常な大量トラヒックに対する対策は技術的には可能だが、簡単にユーザーの通信を止めることはできないのが実情です」と、大久保氏。谷脇氏は「デバイスを通信事業者の判断で切り離してしまうと、医療用などでは、人の命に影響が生じることも考えられます」と話す。現実的な対策としては、「『Design for Failure』(不具合発生を前提とした設計)で臨む」(岡嵜氏)ほうが効果は高そうである。

パネリスト:
アマゾンウェブサービスジャパン
技術本部長 技術統括責任者
岡嵜禎 氏
パネリスト:
トレンドマイクロ
代表取締役社長兼CEO
エバ・チェン 氏

 今後に求められる対策としてパネリストの多くが挙げていたのは、「ステークホルダー間の連携」。一企業でできることには限りがあり、セキュリティ人材の育成、ガイドラインの策定、法制度や認証制度等の整備について、国の関与が期待される。またサイバー空間では、一国だけで対処できる範囲は限られており、官・民合わせた国際連携が必要との見解を示した。そして「IoTは、社会のインフラとなるSystem of Systems。安全なIoT社会の実現のために、すべてのステークホルダーが参加した形での議論が強く求められている」(谷脇氏)との認識を、会場の参加者とも共有した。

トレンドマイクロ
https://www.trendmicro.com/ja_jp/business.html