IoTプラットフォームにも課題あり
IoTプラットフォームにも話は及ぶ。大手からベンチャーまで各社が簡単にIoTデバイスを作ることができるプラットフォームを提供しており、こうしたプラットフォームを用いて、ITでも組み込みでもなく、実生活の中でこれがあると便利だなと思いついた人が自由にデバイスを作ることが可能な状況が生まれている。
こうしたプラットフォームを利用して作成されたデバイスが「セキュリティをまったく考慮していないという可能性は十分ある」と渥美氏は指摘する。
このようなこともあり、「IoTプラットフォームはセキュリティを意識したモジュールを提供すべき」と渥美氏は見る。例えば、暗号化機能の場合、AES暗号モジュールに関してはこなれたオープンソースのライブラリがある。自分たちで暗号モジュールを開発するよりも、これらのモジュールを使うほうが攻略が難しくなるという。
渥美氏は「現時点では、(IoTプラットフォーム事業者は)プラットフォームのセキュリティは守っているが、デバイス側のセキュリティ対策はユーザーの自己責任という姿勢のようだ」と述べる。
以上のように、今のところ、IoTセキュリティに関して、即効性のある対策がすぐに講じられることは期待できそうにない。それでも、できることはあるという。
例えば、メーカーについては「機器の大部分のファイルシステムを書き換えできなくするだけでも、かなり有効な対策になる」と渥美氏はいう。メーカーの課題に挙げた「設計段階でのセキュリティ」も、提案が少しずつ出されており、実際に使えるような形になるという点でそれなりに進展があるだろうと期待を寄せた。また、ARMがチップに暗号モジュールを入れる方向性を明らかにするなど、少しずつ環境も整いそうだともいう。
最後に、メーカーとユーザーに対するメッセージを聞いたところ、メーカーに対しては「ログを残す仕組みを作ってほしい」と渥美氏。攻撃が明るみに出た時、ログがあれば、セキュリティベンダーはいつ攻略されたのか、あるいは単なる故障かといったことがわかるからだ。ユーザーに対しては「"おかしいな"と思ったら放置しないで、メーカーに問い合わせをしてほしい」と呼びかけた。