「IoT(Internet of Things:モノのインターネット)」という言葉が、IT業界で話題になっている。簡単に言えば、家庭などにあるすべての機器がインターネットに繋がる、という話だが、これまでも「ユビキタス」という言葉があり、概念的に大きな違いがあるわけではない。
違いは、それが現実味を帯びている、という点だ。スマートフォンの登場はその大きな契機だし、デバイスや回線など、さまざまな状況がIoTへの追い風となっている。IoTを実現するための製品やサービスなどが登場し始め、今後もさらに拡大が予想されているが、それにともなって課題となっているのがセキュリティだ。
IoTではさまざまなデバイスがインターネットに接続され、外部からもそのデバイスにアクセスできるようになる。外出先から家電をコントロールする、といった使い方のためだが、それは悪意のある攻撃者も、他人の家電に外部からアクセスする可能性がある、ということになる。
例えば今年2月には、BMWの自動車に搭載された「コネクテッド・ドライブ」機能に脆弱性があり、スマートフォンからインターネット経由でドアロックの解除を他人が行えたという。家の鍵が開けられたり、家庭内に設置したWebカメラを勝手に操作されて動画が録画されて流出したり、勝手にエアコンが操作されたり……嫌がらせ程度のものから致命的なプライバシーの侵害まで、さまざまな攻撃が行われる危険性もある。
こうした問題に対して、セキュリティソリューションを提供しようという動きが出てきている。その1社がAkamaiだ。Akamaiと言えば、コンテンツ配信プラットフォームとして著名だが、セキュリティサービスも提供しており、IoTに向けた取り組みについて、米AkamaiのInformation Security DirectorでMike Smith氏に話を聞いた。
Smith氏は同社CSIRTのディレクターであり、CTOとしてアジア太平洋と日本地域セキュリティ全般も統括している立場にある。前職では、米連邦政府のプロジェクトに参画し、金属探知機、爆発物探知機などといったネットワークに接続した機器やユーザーアカウントの管理といったセキュリティに関して従事していたという。
つまり、Smith氏は「IoTという言葉が一般的になる前から、こうしたもの(ネットに接続した組み込み機器)に関わってきた」というわけだ。現在は個別の製品というよりも、OSのパッチ配信、ウイルス対策ソフトのアップデート配信、STB・スマートTVなどへのコンテンツ配信など、「データの配信を受けるあらゆる機器」全般を担当している。
Akamaiにはさまざまなセキュリティソリューションがあるが、「IoTに適用できるものとできないものがある」とSmith氏。IoTのセキュリティに関してすべてを同社がカバーできるわけではなく、対応できる部分でセキュリティ機能を提供していく、というのが同社のスタンスだ。
Smith氏は、「"IoT"という言葉はマーケティング用語。"クラウド"という言葉と同じようなものだ」と言い切る。「何に対しても当てはまる言葉」(Smith氏)であるため、その範囲は幅広い。
IoTは、「2つの文脈で語られることが多い」とSmith氏。「人対マシン」「マシン対マシン」という2つだ。IoTのデバイスは家庭などのユーザーの近くにあり、家庭のローカル側は無線LANやBluetoothといったネットワークで接続されている。そしてそこからインターネットを経由して各種サーバーに接続されている。
家庭では、IoTデバイスが「コントローラー」と対話をする。このコントローラーは、「例えば(照明の)Hueの明るさをスマートフォンで切り替える」といった操作の場合もあるし、IoTデバイスをWebサイトからコントロールするといった場合もあるだろう。また、家庭の無線LANルーター経由で各デバイスにアクセスする場合もある。
こうしたIoTデバイスの情報のやりとりはインターネット経由でAPIを介して行われる。このAPIに、例えばDDoSのような問題があった場合、そのAPIを保護する。これを提供しているのがAkamaiだという。さらに、AkamaiはCisco Systemsのルーターに同社の技術を盛り込んで、「デバイスに近いところでセキュリティを提供する」という。
例えば、Fitbitのようなデバイスの設定画面はブラウザでアクセスするが、ここに「セキュリティレイヤーを付加する」というのが1つの機能だ。これは、SQLインジェクションやクロスサイトスクリプティングのチェック、ユーザーIDとパスワードをチェックしてそれが適切なログインかどうかの検知も行う。
パッチの配信もAkamaiがサポートする。パッチ自体は小さいデータの配信かもしれないが、デバイスの数が増えてダウンロード数が増加することで、インフラのリソースが足りなくなる場合がある。特に、IoTはデバイス数が格段に増える可能性があるため、大きな負担となりかねない。
例えば、同社の顧客がOSのアップデートをしようとした際に、更新規模が大きかったため、22.5TB/sのデータストリームに達したという。パッチのファイルサイズ自体は小さかったが、端末数が多かったため、大量のトラフィックになったのだそうだ。同様のデータ配信では、STBやスマートテレビなどにコンテンツを配信する場合があり、これもトラフィックが大量に流れる。
Akamaiが提供するセキュリティ製品は3つのプラットフォームがあるという。Webアプリケーションファイアウォールの「Kona Site Defender」、昨年2月に買収したIDSの「Prolexic Routed」、そして最後がDNSプラットフォーム。同社のDNSは、「世界最大規模のDNSクラスター」(同)であり、ルートDNSサーバーよりも大規模としている。
この3つのソリューションと同時に、ユーザーに対して3つのメリットも提供する。1つはスピードで、デバイスがデータのやりとりをするスピードは、IoTデバイスだと要求されるものはまちまちだが、Smith氏はレイテンシを重要視。例えばPOSでクレジットカード支払いをする際には、低遅延が必要になる。
もう1つがオフロード。Akamaiの経由でコンテンツを配信することで効率よく、大量の端末にデータを配信できる。そしてもう1つがセキュリティ機能で、「境界保護」と表現するとおり、ルーターなどで攻撃をブロックする機能を提供する。
「新しい技術が出てくると、セキュリティは1~2年ほどタイムラグがあってから追いついていく」とSmith氏。
Akamaiは、直接IoTデバイス自体にセキュリティ機能を搭載するのではなく、「コントローラー」に着目した。IoTをコントロールするためのインタフェースであるコントローラーに対して、DDoS攻撃でコントローラーがダウンする、悪意のある攻撃者がログインしようとする、そういった攻撃を防ぐAkamaiの技術によってセキュリティを強化できると、Smith氏はアピールしている。