NTTコミュニケーションズ(以下、NTT Com)は10月5日~6日、都内にて年次カンファレンス「NTT Communications Forum 2017」を開催した。同カンファレンスでは、Software Defined技術を活用した「SDx+M」ソリューションをはじめ、AI、IoT関連の最新ソリューションが展示されたほか、デジタルトランスフォーメーションを取り巻くICTのトレンドについて有識者らによる講演が繰り広げられた。
本稿では同社セキュリティ・エバンジェリスト 小山覚氏による講演「IoT時代の『サイバー犯罪×セキュリティ対策』の課題とは」の模様をレポートする。
世界のサイバーセキュリティ事情
IoTの普及が進み、PCやスマートフォンだけでなく、あらゆるモノがインターネットにつながり始めた。IoT社会の到来により、人々の生活が快適・便利になっていくことは間違いないが、その裏側には未知のリスクも潜んでいる。
登壇した小山氏は、20年ほど前からセキュリティ関連の業務に携わっており、最近では総務省・経済産業省が昨年策定した「IoTセキュリティガイドライン Ver 1.0」や、今年10月に総務省が公表した「IoTセキュリティ総合対策」の議論にも加わった人物だ。
NTTコミュニケーションズ セキュリティ・エバンジェリスト 小山覚氏 |
そんな氏は冒頭、「一言に『IoT』と言っても、人によってイメージするものが違うのではないでしょうか」と指摘。スマート家電のような据え置き型の機器もあれば、自動車やドローンのように可動型のものもあり、「IoT」と言われて思い浮かべるものは人それぞれだろう。それらのセキュリティについても、交通機関やライフラインのように事業者側が担保しなければならないものもあれば、ホームルーターのように利用者側で管理すべきものもある。
「『IoTはITとOT(Operational Technology)が融合したものだ』という言い方をする人もいますが、IoTの難しさは、何かあったときに人命に影響が及んだり、プライバシーが著しく侵害されたりと、過去のITへの攻撃とは違ったダメージを受ける点ではないかと思います」(小山氏)
では、そんなIoT領域のセキュリティは今、どのようなステータスにあるのだろうか。説明に先立ち、小山氏はサイバーセキュリティに関する世界各国の動向を順に紹介していった。
2015年5月、中国とロシアの間でサイバーセキュリティ協定が締結された。これは、両国がお互いにインターネット上で攻撃しないことに合意したもので、併せて政治や社会経済の安定を損なう行為や内政干渉を行わないこと、法執行機関同士で情報共有することなども約束されている。このうち情報共有について、小山氏は「なかなかできそうでできないこと」だとコメントする。日本、米国、欧州など48カ国が採択する「サイバー犯罪に関する条約(Convention on Cybercrime)」の下、各国警察機関で情報共有を推進するとは言っても、実際に所轄警察署レベルでできるかと言えば、「まだまだ課題が残っている」(小山氏)のが実情だ。
同年9月、今度は米国と中国に動きがあった。両国の首脳会談において民間の知的財産を盗むようなサイバー攻撃を実行しないこと、そうした攻撃を国として支援しないことで合意がなされたのである。
続く2016年5月、日本で開催された「G7伊勢志摩サミット」では、オンライン空間においても人権や法の支配の原則を守っていくことで合意している。また、一定の場合にはサイバー活動が国連憲章および国際慣習法にいう武力の行使または武力攻撃となり得ることが確認された。
「米国では2年ほど前から『サイバー攻撃に反撃する場合にミサイルを使う可能性がある』と言っています。(ここで言っている)『一定の場合』というのは戦闘状態のことだと思いますが、G7においても、こういった考え方が国同士のなかでは一般化されています。これが去年の話です」(小山氏)
そして2017年、中国とロシアでは法整備が始まっている。中国は6月にサイバーセキュリティ法を施行し、重要情報の国外移転やVPN(暗号通信)を禁止した。ロシアも同様に7月、VPNおよび匿名化技術を禁止したほか、SNS規制が強化された。「プライバシーどころか、国が全てを把握していく方向で動きを強めているのが中国とロシア」(小山氏)というわけだ。
一方で、サイバー空間における秩序を国際条約レベルで高めて行こうという議論がGGE(Group of Governmental Experts:政府専門家会合)で行われていたが、今年6月に交渉は決裂している。今後、再度議論される可能性もゼロではないが、現状においては各国がそれぞれ外交で対応していかなければならないし、民間の企業・組織に至っては自力で防御策を講じる必要がある。
「民間の最大の防御策は、情報共有です。業界ごとに、利用しているシステムには似たところがあるので、(サイバー攻撃された)情報を共有することで2回目の攻撃を防ぐのが大切だと思います」(小山氏)
こうした現状を踏まえ、IoTの領域におけるサイバー攻撃(破壊・妨害)やサイバー犯罪(金銭・怨恨)、サイバーエスピオナージ(窃取)には、どのように対応していけばよいのだろうか。