M2M/IoT業界関係者に求められること
〔1〕規格の乱立による不利益を避けるために
M2M/IoTのセキュリティの理想を考えるときに、過去の例として一番イメージしやすいのがUSBメモリやSDカードのような「リムーバブルメディアカード」である。実現したいことは、「コンパクトで軽量、可搬性に優れ、大量のデータをシステム間で移動したい」ということであるはずが、乱立した数多くの規格に対応するために、挿入口がいくつもあるようなカードリーダーが必要になってしまった。これは、いわゆる「自由競争」の結果であるが、それによって、サービスを利用する側が不便を被る事態になってしまった。
残念ながら、M2M/IoT業界においても、同様の現象が発生するのではないかと推測される。何もしなければ、さまざまなセキュリティレベルのデバイスが見境なくつながり、図3のXの状態に陥るだろう。その結果、一番の不利益を被るのはサービスの利用者である。そうならないために、M2M/IoT業界関係者に今後求められるセキュリティに関する取り組みについて、表2に示す。
表2 セキュリティに関してM2M/IoT業界の関係者に今後求められること
出所 インテル セキュリティ資料より
〔2〕レジリエンス(回復性)とシステム全体を守る効率性
表2の中でももっとも重要なことは、政府の取り組みである。ここでいう規制/ガイドラインは、必ずしもサイバーセキュリティに特化しなくてもよい。連載第3回(本誌2015年11月号)で紹介したM2M/IoT ソリューションの開発フレームワークである「NIST CPS Framework v0.8」でも提案されているように、例えば、サーボモーター(位置や速度などを制御するために使用する小型モーター)にハードウェア/アナログレベルのリミッタ(制限装置)を付けることで、仮にサイバー攻撃が成功したとしても暴走ができないようにする。あるいは、十分にセキュリティ対策ができないデバイスが攻撃を受けて、動作の異常を察知した場合は、感染拡大を防ぐため、自らネットワークとの接続を遮断または強制シャットダウンしたりするといった、レジリエンス(回復性)を考慮した要件が重要となる。
また、通常のサイバーの枠にとらわれず、システム全体を効率よく守るにはどうすれば良いかという視点で考えていくことが望ましい。
このような規制やガイドラインは、ビジネスへの参入障壁とならないように注意する必要はあるが、業界全体が結局どの事業者もセキュリティ対策を行わない、という囚人のジレンマ注11に陥らないためにも、最低限のレベルのものは欲しいところだ。そして、政府の取り組みに呼応して、他の関係者も積極的にセキュリティ向上に努めることが大切だ。
M2M/IoTのセキュリティ「文化」の形成
本連載では、なるべく最新情報を伝えようとしたため、紹介の順番に整合性が取れておらず、読者の混乱を招いたかもしれない。しかし、それはまさに今、国内外でM2M/IoTのセキュリティに関する取り組みが活発に行われていることの表れでもある。したがって、この連載で取り上げた内容については、今後も新たな展開があることが予想されるが、基本的な情報についてなるべく網羅したつもりである。いろいろな立場の方々がM2M/IoTのセキュリティを考える際に、本連載がその一助となれば幸いである。
また、本連載の執筆を通して、一番強く感じたことは、M2M/IoTが進展するということは、あらゆる業界にとって思った以上に大きなパラダイムシフトをもたらすということだ。モノがネットワークを介して互いにつながるということは、その向こうにいる関係者も連携する必要があるということを意味する。したがって、政府も、業界団体も、事業者も、SI/ベンダも、あらゆるプレイヤーが苦労をしながらも、組織や技術の壁を超えていく必要がある。
そして、M2M/IoTが進展し、自由に相互接続できる世界を支える際の、もっとも重要な前提条件が、「セキュリティ」であろう。そこでは、セキュリティ対策を単なるコストではなく、相互接続性を高めて大きな付加価値を得るための投資だと捉えることができるような「文化」の形成が重要となる。その「文化」の形成こそが、この連載を通してもっとも訴えたかったことである。
今後も、M2M/IoTのセキュリティ「文化」の形成に寄与することを念頭に、活動を行っていく所存である。(終わり)
▼ 注11
囚人のジレンマ:お互い協力するほうが協力しないよりも利益が大きいことがわかっていても、協力しなくとも利益を得ることができるようになると互いに協力しなくなる、というジレンマのこと。例えば、2人の囚人が、相談できない環境で、看守から「両方黙秘すれば、2年の懲役、でも片方だけ自白した場合は、自白したほうは釈放で、黙秘したほうは10年の懲役。そして、両方自白の場合は、5年の懲役だ」と言われたとする。この場合、本来、協力して黙秘したほうが、両方とも自白するよりも利益があるのだが、相手の行動に関係なく自白するほうが利益が大きいため、結局、自白することを選んでしまうというジレンマを指す。
