つながることの意味:それ、どこにつながっています?
最近、とある事情で家の中の家電を総取っ替えした。その際に、せっかくなので、いわゆる「IoT家電」をいくつか導入にしてみた。これが使い慣れてくると非常に便利で、家の外からの機器のオンオフはもちろんのこと、空気清浄機は現在の空気の状態を教えてくれるし、ロボット掃除機は完了した掃除のステータスを教えてくれる。これらの通知や操作がスマートフォンで完結できるので、通勤途中や仕事の合間の時間を有効利用することができる。このように、離れた場所にある機器を操作できるのも、家電(モノ)がインターネットにつながっているからだ。インターネットにつながることで得られた恩恵である。
ところで、皆さんはInsecamというウェブサイトをご存じだろうか。かなり以前に、一部で話題になったウェブサイトで、世界中のIPカメラ(ネットワークカメラ:単体でネットワークに接続可能なカメラ)の映像が見られる。実際に、IPカメラを検索してみると、日本(Japan)のIPカメラも多数見ることができる。駐車場と思わしき画像や、牛舎と思わしき画像、あるいは事務所の中と思わしき画像など、種類も様々だ。
どうしてこのように世界中のIPカメラを見ることができるのだろうか。実は、IPカメラのうち、ID及びパスワードが非常にわかりやすいものがそのまま使われているものに、接続して閲覧できるようにしているのがこのサイトの仕組みだ。例えば、IDが「admin」、パスワード「password」のようなID及びパスワードが製品出荷時に設定されており、購入者が設置後にこのような初期IDやパスワードを変更しなかった場合などがあげられる。
ここで考えていただきたいのが、「そのIoTはどこにつながっているのか?」ということだ。IoT家電のように、IoTは、使うものにとって今までない新しい体験を可能にしてくれる。一方で、今までにないリスクも存在する。プライバシー・個人情報の保護についても、そのようなリスクを前提として保護を検討する必要がある。例えば、設置したユーザーはこのように海外のウェブサイトで自己のIPカメラの映像を閲覧できることを知っているのだろうか。あるいは、IPカメラの製造・出荷元はこのように広く世界中に映像を共有することを前提としていたのだろうか。(もちろん、この場合、適切なIDとパスワードの管理からはじまるセキュリティとしての論点も満載ではあるが、それは別な解説に譲ることにする。)
この事例を通して考えるべきことは、IoT化によって、情報の当初の利用目的以外の利用が可能になってしまうことがある、ということだ。意図しない接続先につながることによって、想定していなかった利用がなされてしまう場合がある。接続先を限定することをはじめ、どこに接続しているのか(接続したのか)がユーザーにとって明確であることが求められてくる。もちろん、IoTのそもそもIoT化が必要だったのか(情報の利用目的に比して、大鉈を振るっていなかったか)という、当初の目的に立ち返った検討をすることも必要だろう。
