気が付いたら、すっかり世の中はIoT一色になっていて、もはや「IoTに関わる取り組みをしていない企業は時代遅れ」くらいの雰囲気が世間に充満していて、少し焦っている皆さん。そんな流れの中、会社の方針で、「IoT」をやらないといけないけど、そもそも何していいかがわからず困っている方も多いのではないでしょうか? 中でも、「セキュリティ」は難題ですよね。
本連載は、何となくIoTセキュリティが気になる人から、業務でIoTセキュリティについて考えなければならない人までを対象に、具体的な例を挙げて、IoTセキュリティについてわかりやすく説明します。それにより、消費者としての商品選びや業務におけるIoTセキュリティ対策に生かしてもらうためのヒントを提供することを目的としています。今なら余裕で間に合いますので、本連載をこっそり読んで、IoTセキュリティを周りに教えてあげる側になりましょう。
IoTセキュリティがどうして難題なのか?
「IoT」ですらよくわからないのに、「IoTセキュリティ」なんて二の次だなんていう皆さん。今の世の中、何をするにもセキュリティなしには語れません。そんな態度だと、会社や個人が炎上して大損害なんてことになりますよ。とはいえ、「IoT」という新しい概念がどんなセキュリティ脅威を生むのかを考えるのは、なかなか難しいと思います。未来の脅威を予測するのが難しい例として、スマートフォンの普及によって生まれた脅威について考えてみます。
最近、電車のホームや道端で、「歩きスマホは危険ですからやめましょう」という掲示を見ることは当たり前ですよね。ただ、スマートフォンはこの5年間で急速に普及してきたので、数年前までは、そんな掲示はありませんでした。
今、スマートフォンが実現している「外出時に外部から情報を入手する」という行為そのものは、昔からあったことです。実際、ほんの数年前までは、電車で新聞・雑誌を読んでいる人のほうが多かったと思います。ただ、さすがに歩きながら新聞・雑誌を読んでいる人はめったにいません。ですから、「歩き新聞・雑誌は危険ですからやめましょう」という掲示は必要ないわけです。
ところが、スマートフォンはそれを片手でできる範囲で実現してしまった。つまり、歩きながらでもスマートフォンを触れるくらいに便利になってしまったので、逆にそれが新たな脅威を生んでしまったのです。
おそらく、「IoTセキュリティ」の脅威を予測することは、この「歩きスマホ」の脅威を予測するのと同じ難しさがあると思います。なぜなら、IoTの本質は、デバイスである「モノ」がインターネットに接続することで、クラウドやデータセンターに「モノ」のデータを集約し、コンピューティング能力を活用して分析を行い、何らかの価値を生むことだからです。
すなわち、IoTは、ITの世界と「モノ」の世界の融合なわけです。ですから、モノによっては、さきほどのスマートフォンの例のように、モノを使用する人の安全を考慮する必要がありますが、それは、ITの世界ではあまり考慮しなくてよいことでした。ITの世界またはモノの世界のどちらの側の住人であったとしても、もう片方の世界のことはよくわからないというのが正直なところですよね。そういう理由で、「IoTセキュリティ」は難題なのです。
IoTセキュリティはまず業界別に考えよう、一般論では解決できない
加えて、さらに「IoTセキュリティ」を難しくしている理由があります。それは、IoTを活用する業界の違いです。例えば、ウェアラブル機器のように、データの利活用をビジネスとする業界と、スマートグリッドのように私たちの社会生活の根幹をなす業界では、何を守るべきかも、セキュリティの重要度も異なります。前者では、プライバシーが重要でしょうし、後者では、停電・火災等につながらないことが最重要でしょう。
ところが、今の世の中のとらえ方は、「IoT」が一般的な概念となってしまったがために、その流れで、「IoTセキュリティ」を考えようとなってしまっています。もちろん、先の例のように、モノの安全も考えないとダメでしょうというような基本的な枠組みや方法論を考えることはできますが、それだけでは実際の対策はできません。
よくある困った事例を1つ紹介します。いろいろな事業部を持つ企業が、「うちもIoTをやろう!」という経営層からの号令に従って、「IoT〇〇推進室」のような部署横断の組織を作ったとすると、当然、その担当者が、「IoTセキュリティ」も考えることになります。しかし、「IoTセキュリティ」は、結局のところ、各事業部が所属する業界にとって、何が重要で、どのようなリスクがあるかによって考えなければならないため、深い業界知識が必要となります。結果として、部署横断の組織にとっては、荷が重い仕事になってしまうのです。
「IoTセキュリティ」は、まず業界を絞って、徹底的に深く掘っていくのが近道と思います。会社で「IoTセキュリティ」をやるのであれば、部署横断ではなく、まず注力分野を絞ってやることをお勧めします。
ここまでのお話で、「IoTセキュリティ」は難しいというのは、理解いただけたでしょうか。次回以降は、いろいろな業界のIoTの具体的な例を取り上げて、「IoTセキュリティ」について考えていきたいと思います。
著者プロフィール佐々木 弘志(ささき ひろし)
マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP
2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。