- Column
- ツナガル社会を守るサイバーフィジカルセキュリティ
IoTにおける信頼(トラスト)を確保するための3つの課題と対応策
「IoTセキュリティフォーラム2022」より、東海大学の三角 育生 氏
IoT(Internet of Things:モノのインターネット)の活用は、重要インフラや製造現場など、さまざまな場面において、さらに浸透すると考えられる。東海大学 情報通信学部 教授・学部長の三角 育生 氏が、IoTの高まるサイバーリスクに対し政府や産業界が、どのように対応していくべきかについて、自身の行政経験などを踏まえ解説した。
「IoT(Internet of Things:モノのインターネット)により、さまざまなモノがネットワークにつながれば、サイバーセキュリティのリスクも高まる。IoTのセキュリティは、ネットワークとの接続部分が弱点になりやすい」−−。東海大学 情報通信学部 教授・学部長の三角 育生 氏は、こう指摘する(写真1)。
リアルなモノのセキュリティは影響が広範囲に及ぶ
IoTデバイスは急速に普及している。スマートフォンなどのコンシューマー用機器だけでなく、自動車などにもセンサーが装着されインターネットに接続されている。産業機械や医療など社会の重要なインフラを担う専門性の高い領域にも用途が広がっているのが現状だ。
「あらゆるモノがネットワークに接続する社会」(三角氏)において、ユーザーは何を期待し、政府や産業界は何をすべきか。それを考えるためには「まずIoTの特性を知り、課題を明らかにしなければならない」と三角氏は訴える。
三角氏はIoTを、(1)大規模な産業系システムなどの制御系と、(2)小型機器に組み込まれる組込系とに大別したうえで、その用途は「産業からコンシューマー、医療、自動車、航空宇宙、通信など多岐にわたる」とする。
加えて「多種多様な機器が接続されシステム化されるという特徴もある。1つのコンポーネントが大きなシステムを構成し、長期的に使用される」(同)という。そこでは、モノがリアルとバーチャルの接続点となり、「そこがサイバー攻撃によって暴走すれば、その影響は広範囲に及ぶ可能性がある」と三角氏は警鐘を鳴らす。
IoTセキュリティが問題になる事案はグローバルで起きている。例えば、米国では、自動車にセキュリティ上の脆弱性が検出され約140万台がリコールになった。ほかにも、心臓ペースメーカーの脆弱性により約46万個がリコールになったり、脆弱な家庭用ネットワークカメラのメーカーへの訴訟にまで発展したりした事例もある。
これらの事案を受けて三角氏は、「IoTで扱うのは“リアルなモノ”であるからこそ、人の安全や生命、財産に関わる。ソフトウェアの脆弱性に対し修正プログラムを作成しリリースするだけでは対策が完了しないことに注意しなければならない」と強調する。
もちろん、IoTセキュリティに関する国際標準やガイドライン、ルール化などがグルーバルで進んでいる。例えば自動車分野では、米当局が自動車のサイバーセキュリティ対策のベストプラクティス作成を進めている。日本では産業界において自動走行に関する基準の整備が進行中である。
日本政府が示すIoTセキュリティの指針には、内閣サイバーセキュリティセンター(NISC)が2016年8月に発表した『安全なIoTシステムのためのセキュリティに関する一般的枠組』がある。
ほかにも、2016年3月にIPA(情報処理推進機構)が提示した『つながる世界の開発指針』や、IoT推進コンソーシアムと総務省、経済産業省が2016年7月に発表した『IoTセキュリティガイドライン』がある。