IoT時代のセキュリティを考える(1) : IoT時代の安心・安全とは?

インテル セキュリティで、サイバー戦略室 シニアセキュリティアドバイザーを務める佐々木弘志です。重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。

今回は、IoTセキュリティについて取り上げてみようと思います。IoTという言葉をIT関連のイベントや記事で見かけない日はありません。中にはIoTって言いたいだけでは?というようなものもありますが、なんだか盛り上がっているような気がします。一方で、IoTに関するセキュリティの議論はさほど盛り上がっていないように感じています。そこで、今回から数回にわたって、IoTのセキュリティについて今の課題や今後の方向性などさまざまな側面から考察することで、皆さんの議論の一助としていただきたく思います。

20170309_fotolia_83899007_subscript


IoT時代では何が変わるのか?

まず、IoT時代がやってくるとしたら一体何が変わるのでしょうか?その理想的な状況をイメージしてみましょう。無人化された工場ではロボットが工場の装置から収集したデータをもとに、AIによって極限まで効率化された生産を行っているでしょう。また、スーパーで欲しい商品を選んで店を出るだけで、顔認証で決済がされたり、郊外で無人タクシーの自動運転が実現して高齢者の安価な足となると便利ですね。すでに始まっているコネクテッドホームも進化しそうです。例えば、電気代と気象予報を考慮して最も効率良く心地よい24時間の空調が行われ、仕事のスケジュールと連携したアラームで目覚めると、その日の体調や仕事内容に合わせた音楽が流れたり、体調管理のためのおすすめの食事が表示されたり、冷蔵庫が自動で必要な食材や飲み物を注文したり。星新一のSFのような世界が現実となる日も近いように思えます。

ちょっと先の未来のように思えますが、これらのことに共通するのは、これまでのIT(情報技術)が主にサイバー空間内で価値を生み出してきたのに対して、IoT時代は、ITがモノ(デバイス)の技術(OT:Operational Technology)とネットワークを経由して協働することで、もっとダイレクトに私たちの経済活動や生活を豊かにしてくれるということです。

IoT時代のセキュリティとは?

では、IoT時代における「セキュリティ」とはどのように考えたら良いのでしょうか?私はここ数年この問いについて考えてきた結果、この問いかけ自体が正しい解に辿り着くことを難しくしていると考えています。ここで「セキュリティ」という言葉を使うとき、IT業界、主にセキュリティ業界の人は「情報セキュリティ」をイメージするでしょう。情報セキュリティという言葉は、経済産業省が策定した情報セキュリティ管理基準であるJIS Q 27002:2014によれば「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。」と定義されています。このうち、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を情報セキュリティ3要素(C-I-A)として、これらを維持することが情報セキュリティの基本であるというのが一般的な考え方でしょう。しかし、先ほどイメージしたIoT時代の世界にこのフレームワークを当てはめても、どうしてもしっくりいきません。それは、この考え方にはIoTのもう一つの主役であるモノの事情が反映されていないからです。例えば、モノの世界では当たり前の「安全」(Safety)が考慮されていません。無人タクシーが、仮にサイバー攻撃を受けて暴走したとしても、モノ(OT)の世界では、サイバー空間の「情報」の如何に関わらず、物理的に安全にタクシーを停車する機能が求められるでしょう。こうして考えてみると、本当に発するべき問いは「IoT時代の安心・安全をどのように考えたらよいか?」であって、「セキュリティ」はその一部、もしくはモノの事情を反映して再構築が必要な概念であることが分かります。

IoTのセキュリティは、概念の再構築が必要

IoTのセキュリティについて語ると言っておきながら、いきなりそれを覆してしまって申し訳ありません。ですが、この問題がこれまでの情報セキュリティの延長で片付けることができず、大きなパラダイムチェンジを必要としていることが分かっていただけたと思います。冒頭にIoTに関するセキュリティの議論はさほど盛り上がっていないと感じていると述べましたが、その原因もおそらくこの難しさにあるのではないかと思います。実際、今世界中でIoTセキュリティに関するガイドラインが発行されていますが、C-I-Aの概念の再構築に踏み込んでいるものはあまり多くはありません。その限られたいくつかを紹介します。例えば、NIST(米国立標準技術研究所)が発行する「NIST Framework for Cyber-Physical Systems」 (英文)では、IoTシステムが持つべき要素として「Trustworthiness」(信用性)を定義して、信用性を成す5要素として「Safety」(安全性)、「Reliability」(信頼性)、「Privacy」(プライバシー)、「Security」(セキュリティ)、「Resilience」(レジリエンス・回復性)を挙げています。また、IoT関連の世界的な業界団体であるIndustrial Internet Consortium (IIC)が公開したセキュリティフレームワーク(英文)でもこの5要素を基本概念として継承しています。また、日本でも内閣サイバーセキュリティセンター(NISC)が2016月6月に発行した「安全なIoTシステムのためのセキュリティに関する一般的枠組」の中でも、「安全」をC-I-Aと並ぶ柱のひとつとしています。

このように、従来のIT側だけのセキュリティの考え方だけでなく、モノ(OT)側の考え方を取り入れて、IoT時代における新しい安心・安全の概念を構築していこうという取り組みが既に始まっています。

次回は、これらの取り組みを分かりやすく紹介したあとに、IoT時代における安心・安全を構築しようとしたときの現状の課題について、もう少し深く掘り下げてみようと思います。


【関連記事】
IoT時代のセキュリティを考える(2) : 安心への取組みと課題

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速