従来の情報セキュリティ対策とは異なるアプローチが必要
あらゆるモノがネットワークにつながるIoT(Internet of Things)の進展により、社会インフラや医療・ヘルスケア、交通、娯楽など、幅広い分野で新しいサービスやビジネスが生まれつつある。その一方で懸念されているのが、セキュリティリスクの増大だ。北野氏は、IoTの普及によって発生した新たな課題を3つに分類して説明した。
デロイトトーマツリスクサービス株式会社 パートナーの北野 晴人氏
1つは、IoT機器の脆弱性を突かれて攻撃者に乗っ取られ、他のコンピュータなどへの「攻撃の踏み台」にされてしまうことだ。2016年には、世界中で大量の監視カメラやルーター、DVR(デジタルビデオレコーダー)などのIoT機器がマルウェア「Mirai」に感染。これらがボットネット化されて史上最大規模のDDoS攻撃に悪用され、実際に複数の大手Webサービスをダウンさせるなどの被害をもたらした。
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
もう1つは、犯罪など不正な行為の道具としてIoT機器が悪用されること。「たとえば、Webカメラや監視カメラに不正アクセスされて映像を盗み見られることで、脅迫、名誉棄損、侵入・盗難などの補助的手段に使われるかもしれません。物理的なテロの予備手段として使われる可能性もあります」と北野氏は話す。
そして3つめは、主に不正アクセスによりIoT機器が誤作動・停止して、直接的に物理的な事故を引き起こすことだという。たとえば、自動運転車が誤作動すれば重大な事故につながりかねないし、医療機器が停止すれば患者の生命や身体状態に危険が及ぶこともある。
こうした脅威に対してどのような取り組みが求められるのだろうか。北野氏によれば、まず、IoTのセキュリティ対策ではこれまでの情報セキュリティ対策とは異なるアプローチが必要になるという。
従来のITシステムにおけるセキュリティでは、情報セキュリティの三要素といわれる「CIA」の中でも「C」の機密性(Confidentiality)を重視する傾向が強い。背景としては、個人情報や知財などの機密情報は実際にサイバー攻撃の対象とされるケースが多いことや、万一漏えいすれば信用失墜や賠償などで大きなダメージを受けることがあるだろう。これに対して、IoTを活用したサービスのセキュリティにおいては「A」の可用性(Availability)がより重要になると北野氏は指摘する。
「医療機器や自動運転車の停止は人命に関わる深刻な問題を起こす可能性があり、何より可用性が求められます。『CIA』から『AIC』へのシフトを意識する必要があるでしょう。加えて、IoTではセキュリティだけではなく物理的な安全性の『セーフティ』も十分に考慮しなければなりません」
