IoTとセキュリティを考える前に押さえておきたい「ビジネスとリスクの微妙な関係」
IoTに関するセキュリティ上の課題を考える前に、ビジネスにおける新技術に関するリスクマネジメントの基本を再度押さえてみよう。ビジネスを進める側、つまり企業の経営陣にとっての最大目標は利益の最大化とビジネスの拡大であると言っていい。それが企業という存在の目的であり、そこに投資している人たちが要求する最大の事項だからだ。
一方でこうしたビジネスの拡大や利益の追求には、当然ながら様々なリスクも伴う。最大規模、最大利益のみを求めて突っ走れば、様々な問題が生じて、計画が思うように進まないばかりか、場合によっては企業の存立そのものが危うくなるような事態に陥ってしまう。こうしたリスクとビジネス目標のバランスを考え、受け入れるべきリスクを最小化しつつ、どれだけの利益や規模の拡大を達成できるかを左右するのがリスクマネジメントなのである。
ここで注意が必要なのは、リスクマネジメント自体が自己目的化することは決してないということだ。単純に考えれば、リスクを避けるためには、その原因を排除すればいい。極論すれば、そのリスクを発生させるビジネスそのものを、やめてしまえばリスクはなくなる。
だが、それではビジネスの目的は果たせないし、リスクへの対策としては本末転倒だ。まず、リスクを整理し、評価して、(そのビジネスをやめるという以外の)なんらかの手段でリスクを低減できるかどうかを考える。
ここで注意が必要なのはリスクを低減するために講じた手段が、違うリスク、たとえばビジネスの効率低下や、追加コストを生じる可能性だ。これも、最終的なリスクの大きさに含めておく必要がある。そうして残ったリスクとビジネス上のメリットの両方を勘案し、進めるか止めるかを決めるのである。この最終判断は、もちろん経営上の判断になる。
リスクマネジメントは、あくまでビジネスそのものを進める前提で行われる必要がある。情報セキュリティマネジメントもリスクマネジメントの一環だが、時折、本末転倒な施策でビジネスの足を引っ張る様子が見られるのは、これがビジネスリスクマネジメントという意味での位置づけにおいてまだまだ未熟だからだろうと思う。
ISMSとして知られるISO/IEC27000シリーズの2013年版から、リスクの定義が改訂され、ISO31000における一般のリスクマネジメントの考え方との整合性が取られた理由のひとつに、こうした状況の改善があったのだろうと思う。
IoTの問題に限らず、こうしたリスクマネジメントにおいては、ビジネスの視点から、経営層がリスクを正しく認識し、バランス感覚を持って判断できる素地をきちんと作っていくことが重要なのである。
IoTセキュリティリスクの考え方
さて、IoTビジネスには様々なリスクが伴うが、ここからは情報セキュリティとその周辺のリスクに絞って考えてみよう。これを考える上で重要な要素は以下のようなものだ。
- Things の特性(それが何を行うものであるのか、どこで使われるものなのか・・)
- Things の数
- Things へのサービス(管理、制御、情報提供、情報収集などをたばねるサービス)
IoTという言葉が非常に漠然としており、Thingsがカバーする範囲が非常に広いため、リスクの評価は、それぞれのThings =「モノ」の特性によって大きく変化する。つまりThingsに対する脅威やその影響に大きく左右されるのである。
たとえば、家電製品でも、白物家電と情報家電では脅威の内容が異なる。前者は場合によっては利用者に対し安全、衛生上の問題を生じる可能性もあるだろう。交通や工業系のIoTでは、こうした安全上の問題が最大の脅威となりうる。リスクの評価は決してIoTという言葉でひとくくりにできるものではなく、個々にきちんと特性を加味して行われる必要があるのだ。
たとえば「モノ」本来の機能の延長上でIoTを考える場合、「モノ」の特性を中心として考えればよいが、それにIoTで新たな価値(機能)や意味を付加するような場合は、当然違った切り口での検討が必要だ。たとえば、IoT化することにより、関連する情報の提供や収集を行う場合などである。
また、テレビがその代表格だが、本来の機能から、より「情報端末化」つまり従来、パソコン、スマホなどの「コンピュータ」が担ってきた分野に踏み込んでいく場合は、当然ながら、これまで「コンピュータ」が晒されてきた脅威にも目を向けていく必要がある。
