今年1月に米国で開催された「International CES 2016」。世界最大級の家電関連展示会で、今年1年の家電業界を占うイベントとしても重要な展示会だが、今年のテーマの1つとしてIoTがあった。

あらゆるデバイスがインターネットに接続して、相互に連携してサービスを実現するIoTの世界は、今年も業界で重要な潮流として位置づけられるだろう。さまざまなデバイスがインターネットにつながるとなると、問題になってくるのがセキュリティだ。

トレンドマイクロのCEOであるエバ・チェン氏に、IoTのセキュリティの動向について話を聞いた。

チェン氏は、「IoTは人々の生活の一部となる」と指摘し、そのことで生まれる懸念があると説明する。IoT自体は、電球や玄関のロック、ライトなど、小さなデバイスも多いが、「実際はミニコンピュータ」とチェン氏。通常のコンピュータにセキュリティリスクがあることは、すでに多くのユーザーが知っている。「同様のリスクがIoTにはある」とチェン氏。しかし、一般のユーザーはコンピュータと同じと考えておらず、リスクに気付いているとはいえない。

重要なのは、IoTを使うことはコンピュータを使うことだとユーザーが気付くこと、そして、冷蔵庫や車、照明などを作るメーカーが、IoTに対応するために内部にコンピュータを導入していることに気付くことが必要だと話す。メーカーが開発においてセキュリティを気にすべきだとチェン氏。

チェン氏は、現在IoTには「2つの主要なセキュリティの懸念がある」と指摘する。具体的に、1つ目がIoTデバイスが情報収集することによるプライバシーリスク。2つ目がリモートコントロールで、他人にIoTデバイスがコントロールされてしまう危険性だ。監視カメラがネット上からアクセスできてしまう問題が話題になったが、同様にIoTのビデオ機能がアクセスされ、家庭内の映像がいつでも見られてしまう、といった危険が考えられる。昨夏には、ジープ・チェロキーに遠隔操作の危険性があると指摘され、こうしたリスクが今後も出てくる危険性がある。

PCのセキュリティ問題の場合、ソフトウェアをインストールすることで発生することが多い。OfficeやFlash、PDFが狙われることも多いが、これはこうしたソフトウェアに脆弱性があるからだ。ところが、IoTデバイスの場合、通常は新たにソフトウェアをインストールするようにはできていない。問題は、ベンダーが開発した、標準のソフトウェアに存在するわけだ。

逆に言えば、ウイルス対策などのソフトウェアをインストールすることもできず、セキュリティ対策が難しいのが現状だ。それに対しては、ルーターのファイアウォールのように境界で防御するというソリューションなどが提案されている。トレンドマイクロは、「セキュリティAPIを提供する」(チェン氏)。これはIoTベンダーに対して提供されるもので、このAPIを使ってコードをチェックし、脆弱性を発見して「仮想パッチ」をリモートで提供する、といった機能が提供されるという。

これは「第1層」のセキュリティ機能で、「第2層」の機能としてリモートアクセスのブロックを提供する。特に家庭のカメラのようなデバイスに対してのリモートアクセスは無線LANルーターなどのゲートウェイを経由してアクセスされるが、このゲートウェイに対してブロック機能を提供する。

3つ目のソリューションとして、そのデバイスがゲートウェイ配下にないとき、つまりモバイル端末として外に持ち出された場合には、新たに開発されている「Yamato」でのセキュリティを提供する、という。

チェン氏は、犬の首輪に付けたタグに通信機能を搭載した例を挙げる。犬が自宅内にいるときは家庭内のルーターと通信をしており、その通信が途切れると、「犬が家から出た」とアラートを出す。ここで本来は追跡できなくなるが、Yamatoがクラウド経由で追跡をして、「3ブロック先の家にいる」といったことを教えてくれるようになるとしている。

トレンドマイクロは、こうした3つのセキュリティソリューションを提供することで、IoTのリスクに対処していきたい考え。ちなみにこうしたセキュリティソリューションは、現在のところ正式リリースされていないが、Yamatoは実証実験として一部機能が、愛媛県の公衆無線LANサービスにおけるセキュリティ機能として提供されているそうだ。

2020年の東京五輪に向けて、今後も国内で公衆無線LANサービスが拡大することが考えられ、そうしたサービスにおけるセキュリティに貢献したい意向だ。実際、ロンドン五輪では「多くの公衆無線LANスポットが脆弱な状態だった」とチェン氏は言う。トレンドマイクロは、ソチ五輪の際にもセキュリティの実験を行っており、五輪のような大きなイベントでのセキュリティリスクを検討しているそうだ。

東京五輪では、現在よりもさらにIoTデバイスがいたるところに使われるようになっている、とチェン氏は推測。トレンドマイクロはフェンシングの太田雄貴選手とスポンサー契約を結んでいるが、フェンシングは突きの判定を機械的に行っているが、これがネットワーク化して、ハッカーが攻撃を行って点数を操作する、といった危険性があり得る、とチェン氏は話す。あくまでこれは予測ではあるが、そうした問題も検討しなければならない。

IoTデバイスの開発では、特にベンチャー企業のような小さい企業が多いため、セキュリティリスクへの考慮が十分でない企業もあるかもしれない。しかし、自動車のような大企業が作った通信機能にも脆弱性が存在することから、企業の大小ではなく、チェン氏は「セキュリティ教育が大事」と強調する。また、サービスと連携することから、ネットワークセキュリティというポイントをあげる。

「IoTの脆弱性はPCの脆弱性とは異なる」とチェン氏。そうした点も踏まえて、同社はHPのTippingPoint部門を買収。IoTデバイスからの通信は、PCに比べてパケット自体は小さいが量が多く、全体では膨大になるため、そうしたIoTのトラフィックにも対応できる次世代IPSを提供していきたい考えだ。

チェン氏は、IoT自体には医療や環境などの分野での期待をあげ、今後の発展を望んでおり、その点でもセキュリティの重要性を強調する。特に医療分野は、プライバシーの面でデータ保護が重要となる。IoTデバイスによってさまざまな健康情報が収集されるようになり、それがクラウド経由で収集されるようになると、そうしたデータをいかに保護するかという点を検討しなければならないと話す。

IoTの今後の普及に対してチェン氏は、ユーザーに対してどういったメリットがあるのかを明確にする要がある、との認識を示しつつ、普及に向けてはセキュリティが必要になることを強調していた。

トレンドマイクロがIoT向けに提供を予定しているセキュリティソリューションの一部。これはルーターに接続して宅内のデバイスを管理できるゲートウェイ「DIAMOND」

デバイスの通信状況を監視し、接続を管理したり、ユーザーの利用を制限したりといった機能を提供する

デバイスベンダー向けに提供されるSDKである「ATOM」を採用したIoTデバイス。例えば中央にあるのはASUSのスマートロックがこれを採用しているそうだ

提供されるセキュリティ機能。提供されるデバイスやサービスによってこの中から任意のものを利用できるようだ。例えばASUSはID管理の部分をトレンドマイクロが担当しているという

ネットワーク全体でセキュアな環境を構築する「YAMATO」。この機能の一部が愛媛県の公衆無線LANサービスで利用されているそうだ