前回は、スマートホームのセキュリティ脅威を中心に説明しました。スマートホームは実現できることの幅が広いため、セキュリティの脅威もバラエティに富んだものでした。今回は、その脅威を踏まえたスマートホームのセキュリティ対策を紹介します。問題を切り分けるために、スマートホームを提供するベンダー側と利用する側の観点からそれぞれ考えてみましょう。
スマートホームを提供するベンダー側のセキュリティ対策の考え方
まず、スマートホームのデバイスもしくはシステムを提供するベンダーが行うセキュリティ対策について考えてみましょう。スマートホームのような新しいソリューションの場合、脅威の想定を尽くすことが難しいうえに、他社のデバイスと連携する場合もあるので、事前に対策を万全にして世の中に出すということはほぼ不可能と言ってもよいでしょう。
一方で、今、世の中で起こっているIoTマルウェアの攻撃は、単にパスワードがデフォルトのまま放置されている、不要な通信ポートが開いているといったセキュリティ対策が弱いデバイスが狙われていることも事実です。こうしてみると、短期的には、このような初歩的な対策を徹底するだけでもかなり効果があるでしょう。セキュリティ対策が弱いデバイスがあふれている現状では、攻撃者側も、無理に高度な攻撃をしなくても十分目的を達成できるからです。
消費者がデバイスやシステムを選ぶ際に、最低限の対策が行われているものかどうかが見分けられるマークのようなものがあると良いかもしれません。例えば、省エネ機器かどうかが判別できるエネルギースター・マークのようなものです。
ただし、こうして時間を稼いだとしても、結局、攻撃者は進化しますので、やはり、長期的な対策も必要となります。ベンダーとしては、攻撃されると影響の大きいデバイスやシステムについては、リリース前に対策をやりきるのではなく、リモートでソフトウェアアップデートできる仕組みを確立し、新しい脅威にもある程度対応することが求められるでしょう。あらかじめ出荷時のバックアップをデバイス内に用意しておいて、遠隔で初期設定に戻すといった対策も有効かもしれません。
それでも、システムの基盤となるOSが古くなることによってサポートが難しくなる場合もあるので、一定期間のサポートののちにサービスを強制的に停止することもありえます。例えば、IoT冷蔵庫が、保証期間後にインターネット接続を遮断し、普通の冷蔵庫として使えるようにしておけば、消費者の選択の幅は広がるでしょう。このような新しい保証の考え方をスマートホームに関わるベンダー全体で考えていく必要があると思います。
スマートホーム利用者側のセキュリティ対策の考え方
次に、スマートホームを利用する消費者の立場から見たセキュリティ対策を考えてみましょう。スマートホームにかかわらず、家電や生活に関わるデバイスは、製造物責任法(PL法)に基づいて、製品に欠陥があって安全や資産が損なわれる場合は、基本10年間はベンダーにその賠償責任があります(*1)。
*1 IoTセキュリティ対策の法的側面
http://www.soumu.go.jp/main_content/000475180.pdf
もし、サイバー攻撃によって、スマートホームが攻撃されて何らかの損害が発生した場合、サイバー攻撃は犯罪行為ですから、攻撃者が捕まればその人に賠償責任があることになります。しかし残念ながら、大半の攻撃者は捕まらないのが現状ですし、ベンダーが何かしらの対策を施していて過失がないと認められれば、消費者保護の対象とならないこともあるでしょう。
実際に、今、皆さんのパソコンがランサムウェアに感染したとして、パソコンメーカーや、インターネットプロバイダーが損害を保証してくれるでしょうか_? まあ、難しそうですよね。そのため、皆さんは、アンチウイルスソフトを購入して自衛するわけです。
これはITの考え方で、消費者優位である製造物責任のような「モノ」のシステムの考え方とは異なります。では、スマートホームはどうあるべきでしょうか? これは、どちらの考え方が正しいという問題ではなく、ITの世界と「モノ」の世界の融合によって生まれた新たな課題です。スマートホームの家電や生活に関わるデバイスが、パソコンに近づくことで生じている課題と考えるとわかりやすいでしょう。
こうして考えると、スマートホームにも、パソコンのアンチウイルスソフトと同様に、利用者自身の責任で対策したいというニーズが生まれてきます。実は、もう既にそのようなソリューションの提案が始まっています。
例えば、スマートホームと外部インターネットとの接点となるルータを介したクラウドサービスを利用して「家を丸ごと守る」というソリューションです。本来は、利用者自身がスマートホームのソリューション選定時に、セキュリティ対策が十分かどうかの判断を行うのが望ましいでしょう。とはいえ、ホームネットワークに接続するデバイスひとつひとつについて毎回判断するのは大変でしょうから、今後はこうした包括的なソリューションが求められるのではないかと思います。
いわゆる「ホームセキュリティ」というと、これまでは防犯や火災検知のためのサービスでしたが、これからスマートホームが一般化して、コストメリットが出るのであれば、サイバーセキュリティも合わせた「スマートホームセキュリティ」サービスが登場するかもしれませんね。
前回から2回にわたり、スマートホームのセキュリティについて説明しました。皆さんにとって身近な内容で理解もしやすかったと思います。スマートホームがもたらす「より便利に、より快適に」のメリットを享受する以上、利用者はそれに伴うリスクを認識する必要がありますし、ベンダーもしっかりセキュリティ対策や回避策を用意した上で、リスクを利用者に示すことが必要だと思います。そうすることで、社会全体で発生するスマートホームのリスクを最小化できるとよいですね。次回は、車の自動運転のセキュリティを取り上げる予定です。
著者プロフィール
佐々木 弘志(ささき ひろし)
マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP
2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。