あらゆるものがつながる時代のセキュリティ
あらゆる機器をインターネットに接続する目的は、より付加価値の高い、高度で便利な機能やサービスを実現しようというものだ。便利になる一方、インターネットにつながるということは、当然リスクにもさらされる(図1)。セキュリティ対策は必須と言っていいだろう。
図1 IoTの新たなセキュリティ上の脅威
出所 「IoTセキュリティガイドラインver1.0概要」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省
とはいうものの、いままでインターネットにつなぐことがなかった機器について、どのような脅威(リスク)を想定すればいいのだろうか。どのような対策があるのだろ
うか。ガイドラインをどう読めばいいのか、
インフラ事業者や制御系ではSCADA注2や制御システムセキュリティという考え方があったが、それとの違いはあるのだろうか。そもそも考えなければいけないものなのか。慣れない側にとっては疑問がつきない。
IoT推進コンソーシアムの背景とガイドラインの目的
ガイドラインを作成したのは「IoT推進コンソーシアム」という組織である。このコンソーシアムは政府の「日本再興戦略」(2015年6月改訂)注3に基づき組織された注4。コンソーシアムの設立趣旨によれば、目的はIoT・ビッグデータ・人工知能を業種の壁を超えて活用するためとなっている。
コンソーシアムには、現在2つのWG(ワーキンググループ)が存在している。1つはIoTセキュリティWG、もう1つはデータ流通促進WGだ。ガイドラインの作成は、IoTセキュリティWG(座長:佐々木良一 東京電機大学 教授)が担当し、この下に2つのサブワーキンググループ(機器製造・管理SWGおよびネットワークSWG)を設置して検討を行った注5。当該WGは、2016年1月から2回の会議を経て同6月にガイドライン案を作成し、公表した。6月1~14日の期間で、ガイドライン案に対する一般からの意見募集を行い、修正作業を行って、7月5日に「IoTセキュリティガイドライン ver 1.0」として策定、公表された注6。
ガイドラインの目的は「IoT機器やサービスについてセキュリティ・バイ・デザイン(後述)を基本原則として、セキュリティ確保に必要な取り組みを明確にすることで、積極的な開発の促進と利用者が安心して使える環境を生み出す」ということになる。
その一方で「サイバー攻撃による被害について法的責任の所在を規定したり、一律な対策の実施を強制するものではない」とも謳っている。
ガイドラインの概要とポイント
詳細について、道方氏の話を含めてもう少し掘り下げてみよう。
「IoTは、PCやスマートフォンのようなコンピュータ以外のデバイスや機器がインターネットにつながります。その対象はコンシューマ製品から自動車・インフラ設備など多岐にわたります。したがって、ガイドラインは、特定の業界・業種に特化していません。ガイドラインをさまざまな業界、組織を横断的に適用・展開できるように、セキュリティへの考え方や対策の普遍的な部分にフォーカスしていると言っていいでしょう」
道方氏が「横断的」というように、ガイドラインの示す範囲は広く、各論よりもセキュリティの方針や設計にかかわる記述が多い。想定している業界(読者)も、IoTを利用する企業(または個人)、プロバイダやアプリケーションベンダなどのサービス提供者、プラットフォームやネットワークを担当するシステム提供者、センサーやカメラ、モバイルデバイスなど機器・製品を開発するメーカーとなっている〔図2、表1〕。
図2 IoTセキュリティガイドラインの対象範囲
出所 「IoTセキュリティガイドラインver 1.0」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省
表1 IoTセキュリティガイドラインの具体的な対象者の例
出所 「IoTセキュリティガイドラインver 1.0」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省
そしてもう1つ重要なのは、これらのステークホルダーには、現場の人間だけでなくそれぞれの経営者も欠かせないことだ。セキュリティ対策の全般にいえることだが、いまや経営の関与なしに高度なセキュリティは確保できない。IT部門に任せて機器やソフトウェアを導入するだけでは、IoTに限らず危険だ。
▼ 注2
SCADA:Supervisory Control And Data Acquisition、スキャダ。監視制御システム。
▼ 注3
http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/dai1jp.pdf
▼ 注5
2016年1月21日より、IoT推進コンソーシアムにおいてIoTセキュリティWG(事務局:総務省・経済産業省)を開催してきた。
http://www.iotac.jp/wg/security/
▼ 注6
・http://www.iotac.jp/wp-content/uploads/2016/01/03-IoTセキュリティガイドラインver1.0別紙1.pdf
・http://www.iotac.jp/wp-content/uploads/2016/01/04-IoTセキュリティガイドラインver1.0概要(別紙2.pdf
・http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=145208784 &Mode=2
▼ 注7
企業利用者については、IoT機器・システム、サービスを自社の生産活動やサービス供給等ビジネスの中に組み込んでこれらの管理を行いつつ、利用している事業者を想定している。
▼ 注8
工場等の制御システムもIoT機器・システムと接続されることで、ユーザ情報など一般利用者に影響を与えることも想定される。