スマートグリッド

M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策― 第4回 AllSeen、IIC、OICと日本におけるM2M/IoTサイバーセキュリティへの取り組み ―

2015/11/30

(月)

佐々木弘志　インテルセキュリティ（マカフィー株式会社）サイバー戦略室 CISSP

Cyber³ Conference Okinawa 2015

　日本政府の最新の取り組みとして、2015年11月7～8日の2日間に、M2M/IoTセキュリティについても議論が行われた日本発のサイバーセキュリティの国際会議「Cyber³ Conference Okinawa 2015^注9」について紹介する。

　2016年には伊勢湾サミットを、2020年に東京オリンピック・パラリンピックを控えているなか、本会議では、「サイバーコネクション」「サイバーセキュリティ」「サイバークライム」の3つのテーマ^注10について、世界35カ国・地域から政府関係者や専門家ら約350人の参加者を集めて、各テーマの課題についての活発な議論が行われた。

　この会議のテーマの1つである「サイバーコネクション」は、「M2M/IoT」「クラウドサービス」「センサーネットワーク」「ロボット」「自動運転テクノロジー」といったテーマを分析するとともに、インターネットの関わりをどのように未来へとつなげていくかが議論となった。

　この会議において行われたM2M/IoTセキュリティに関する議論で筆者が特に興味深かったのは、以下の3点である。

（1）「速度」：M2M/IoTにおけるテクノロジー進化や環境変化の速さに、人的な体制、枠組み、規制が追い付いていない。
（2）「規制」：規制はイノベーションを阻害するのかどうか。
（3）「情報共有」：脅威やインシデント情報を共有する場合に業界内だけでなく、業界を越えた情報共有の仕組みづくり。

　それぞれについて、順に説明を加える。

〔1〕セキュリティシステムを横断的に議論できる体制作り

　（1）の「速度」については、これがまさにM2M/IoTセキュリティの本質だと言える。

　M2M/IoTセキュリティを扱う場合には、まず組織や体制を対象のシステムに合わせるべきである。例えば、電力制御システム、FA、PA（プラントオートメーション）のような制御システムが情報システムと接続する場合のセキュリティを考慮する際に、個別の部署でそれぞれ検討するのではなく、双方のシステムを横断的に議論できるような体制作りが必要だろう。

〔2〕規制やガイドラインの必要性

　（2）の「規制」については、人によって意見が分かれていたが、筆者は、規制・ガイドラインは必ずしもイノベーションを阻害しないと考えている。特に、重要インフラのように、攻撃を受けた場合の社会生活に対する影響が大きく、最低限のセキュリティ対策が求められる環境下では、規制・ガイドラインがなければ、対策を行うところと行わないところの差が激しくなる。それが価格競争力に反映されると、しっかり対策を行っているところが競争に負けてしまうという問題が発生する。

　最低限の規制があれば、各事業者ともに、少なくとも最低限はやらざるを得ないことになるので、それに沿った体制変更や人材確保、育成を行うだろう。結果として、重要インフラセキュリティに通じた組織の構築やセキュリティ人材の育成につながり、必要なセキュリティ対策を自らの判断で実施できるようになる。これはイノベーションと呼んでもよいのではないかと考える。

〔3〕業界をまたいだ攻撃に対する情報共有

　（3）の「情報共有」は、特にM2M/IoT関係では、将来重要となる。今のサイバー攻撃の傾向として、業界単位で似た攻撃を仕掛けてくるケースが多いため、例えば、脅威情報やベストプラクティス（最善の対策事例）共有の仕組みであるISAC^注11が業界ごとに設立されている。

　米国において、FS-ISAC（金融分野）、Telecom-ISAC（情報通信分野）などが、その代表例だ。しかし、この会議では、将来的にM2M/IoTが進展すると、業界をまたいだ接続が積極的に行われるという予想が提起された。その際には、攻撃者の手法も業界をまたいだものが出てくるため、ISAC同士の情報共有も重要となる。

　いずれにせよ、日本発でこのような国際会議が開催されたのは意義深いことである。世界中の専門家が同じ課題について会話し、相互理解や課題の共有を行うことは非常に有意義であると感じた。

　ただ、同時に、短時間のディスカッションベースの会議では、特定の課題について掘り下げて話をする時間が足りず、具体的な対策にまで踏み込んだ成果を出すことが難しかった。今後もこのような取り組みが、一過性のものとならずに継続されていくことを期待したい。

▼ 注9
「Cyber³ Conference Okinawa 2015」は、内閣府によって、World Economic Forum（世界経済フォーラム）の協力のもと、2015年11月7～8日の2日間、沖縄県の沖縄万国津梁館とザ・ブセナテラスで開催された。
「Cyber³」の「3」は、「サイバーコネクション」「サイバーセキュリティ」「サイバークライム」の3つの主要テーマを意味している。

▼ 注10
内閣府は、次のように定義している。

サイバーコネクション：IoT、クラウドサービス、センサーネットワーク、ロボット、自動運転テクノロジーといったテーマを分析するとともに、インターネットの関わりを未来へとつなげていくこと。
サイバーセキュリティ：サイバー空間の安全性向上や悪意ある攻撃からの防御のため、世界中の異なる組織が互いに協力すること。
サイバークライム：グローバルなステークホルダーが、サイバー犯罪の増加を抑止するために、情報交換や国境を越えた協力を最大限活用すること。http://cyber3conf-okinawa2015.jp/press/150710_ja.html

▼ 注11
ISAC（アイザック）：Information Sharing and Analysis Center、セキュリティ情報共有と分析を行う組織のこと。