2017年、インターネットに接続できるコネクテッドデバイスの数が世界の人口を上回った。家庭には平均で15台のコネクテッドデバイスがあると言われており、2年後には50台と予想されている。急速にIoT時代に突入しつつあるが、セキュリティの懸念は払拭されていない。McAfeeのCEO、Christopher Young氏は、トヨタ自動車が考案したメンタリティ「Stop the Line」を通じて品質を重視しようと呼びかけた。
2月末、スペイン・バルセロナで開催された「Mobile World Congress 2018」には、世界205カ国から10万7000人以上が参加した。もはやモバイル=携帯電話(スマートフォン)ではなく、フロアには自動車、ドローン、スマートウォッチと様々なものが展示されていた。
だが、人がいる(=使う)ところを狙うのがサイバー犯罪者だ。スマートフォンはもちろん、IoTへの脅威も報告されている。セキュリティ大手のMcAfeeも、これまではPC向けにウイルス対策ソフトなどを提供してきたが、スマートフォンやタブレットなどのモバイルデバイス、そしてホームネットワークを保護する技術も提供している。MWCでは、WiFiルーターに搭載して家庭のネットワークに繋がっているデバイスのセキュリティ対策ができる「McAfee Secure Home Platform」で、AmazonのAlexa Skillを提供することを発表した。この日、基調講演のステージに上がったYoung氏は、「Alexa、McAfee Secure Home Platformを起動して」と話しかけて起動させと「通知を読んで」と頼んだ。するとAlexaが、「照明が制御されているか恐れがあるので、悪意あるスポットをブロックしました」と読み上げるーーホームセキュリティをわかりやすくシンプルにするという取り組みとなる。
脅威の現状についてYoung氏は、「どうやってスマートフォンのアプリを安全にするか、使い勝手とセキュリティのバランスをとるかーー10年前の課題はまだ解決されていない」という。10年前の2008年夏、Appleは「App Store」をローンチした。その後、スマートフォンにおけるアプリの人気と重要性は周知の通り。現在、200万以上のアプリがあり、ダウンロードは1800億回に達している。セキュリティの面では現在のタッチ端末ベースのスマートフォンが登場する前の2004年に、モバイル端末を狙う最初の攻撃が確認されている。当時からセキュリティの懸念が出されてきた。
懸念はそのままに、インターネットに接続できる移動性のある端末は、スマートフォンから自動車、電球、TVと様々なものに拡大している。スマートフォン中心だった時代にAppleは、アプリやデータについて明確なガイドラインを設けた。Young氏はこれを評価しつつ、「IoTは単一の会社ではなく、エコシステムはクローズドではない。これは、新しい課題をサイバーセキュリティにもたらしている」とする。
「McAfeeがセキュリティ事業を開始した当初、1日の脅威は10件程度だった。現在、我々は1日60万件のユニークな脅威を確認している」とYoung氏は言う。
過去30年の既知のウイルスやワームの図を見せながら、Young氏はトレンドとして、「特定のウイルスが突出しているのではなく、攻撃の複雑さと規模が増している」とする。また、「攻撃は時間とともに形を変える」とも。攻撃者は様々な手法を組み合わせており、これがインフラやデータの保護をさらに難しくしていると言う。
例えば2017年に大きな話題となった「Wannacry」。ランサムウェアと分類されたが、ランサムウェアの特徴を多く備えていたのでランサムウェア攻撃と言われたにすぎない。ワームでもあり、2015年に源をたどることができると言う。「攻撃者はコードベースを共有している」とYoung氏。ランサムウェアそのものも昔からあるが、ここ数年の仮想通貨人気により、簡単に利益を引き出せるようになったことから浮上したと分析する。
IoTを狙った大型の脅威は、2016年の「Mirai」だろう。DNSサービスDynに対して世界最大のマルウェアサービスが起こったが、そのボットネットがMiraiだ。攻撃者は「未来(Mirai)」という言葉に、将来もたくさんのMiraiが出てくるだろうという不吉な予言を込めた。Young氏によると、Miraiは現在も活発に活動しているとのこと。「私のスピーチの間にも25台の端末が感染してMiraiの一部になっている」と述べた。スピーチは25分弱だったことから1分に1台感染しているということになる。Miraiに代表されるIoTを狙った攻撃をYoung氏は、「IoTの兵器化」と表現した。
そして2018年、我々は新しい脅威に直面した。CPUの脆弱性を狙う「Spectre」「Meltdown」だ。これについてYoung氏は、「コンピューティングの土台であるマイクロプロセッサの脆弱性を狙うものだ。今後同じ脆弱性を狙う他の攻撃手法が出てくるだろう」と収束とは程遠い状態であることを強調した。
McAfeeをはじめとしたセキュリティベンダーはそれぞれ解決策を開発しているが、Young氏はここで「複雑な問題をどうやって解決したのか、他の業界から学ぶことができる」として、トヨタ自動車の”Stop The Line”を紹介した。
Stop The Lineとは文字どおり、品質に問題があるときは生産ラインをストップすること。品質を重視したトヨタは、品質よりも台数重視だった当時の米国の自動車業界を脅かす存在となった(GMの製造プロセスにおいて、「従業員は製造プロセスをストップできなかったが、トヨタではあらゆる従業員が品質に問題があるとわかれば製造プロセスを停止できた」とYoung氏)。 「クオリティは”あれば良い”ではなく、”必須”」とYoung氏、「IoTの世界ではセキュリティが組み込まれている必要がある」と強調した。そのためには、これまでのようにプロセスを後戻りするだけでなく、止める(Stop the Line)ことも検討すべきだという。
Young氏は具体的に次のように述べる。「デバイス、サービスの設計プロセスではセキュリティ関連の仕様を設計そのものに入れる。ビルドプロセスでは脆弱性が入る可能性があるとわかったら”Stop the Line”だ。マーケティングならセキュリティをメッセージに入れる。サポートは製品出荷後もセキュリティを最優先させてサービスを提供する」。
特にサポートでは、IoTの前提である”コネクテッド”を活用することで出荷後もサービスとしてセキュリティを提供できる。出荷して終わりというのではなく、継続的にセキュリティを強化できる。
このようにして、ISP、通信事業者、サービス事業者、メーカーとエコシステム全体で協力することでセキュリティを実現できる、とYoung氏。そして、「2018年はサイバーセキュリティを新しいクオリティにしよう」と集まったモバイル業界の関係者に呼びかけた。