従来の情報セキュリティ対策とは異なるアプローチが必要
あらゆるモノがネットワークにつながるIoT(Internet of Things)の進展により、社会インフラや医療・ヘルスケア、交通、娯楽など、幅広い分野で新しいサービスやビジネスが生まれつつある。その一方で懸念されているのが、セキュリティリスクの増大だ。北野氏は、IoTの普及によって発生した新たな課題を3つに分類して説明した。
デロイトトーマツリスクサービス株式会社 パートナーの北野 晴人氏
1つは、IoT機器の脆弱性を突かれて攻撃者に乗っ取られ、他のコンピュータなどへの「攻撃の踏み台」にされてしまうことだ。2016年には、世界中で大量の監視カメラやルーター、DVR(デジタルビデオレコーダー)などのIoT機器がマルウェア「Mirai」に感染。これらがボットネット化されて史上最大規模のDDoS攻撃に悪用され、実際に複数の大手Webサービスをダウンさせるなどの被害をもたらした。
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
もう1つは、犯罪など不正な行為の道具としてIoT機器が悪用されること。「たとえば、Webカメラや監視カメラに不正アクセスされて映像を盗み見られることで、脅迫、名誉棄損、侵入・盗難などの補助的手段に使われるかもしれません。物理的なテロの予備手段として使われる可能性もあります」と北野氏は話す。
そして3つめは、主に不正アクセスによりIoT機器が誤作動・停止して、直接的に物理的な事故を引き起こすことだという。たとえば、自動運転車が誤作動すれば重大な事故につながりかねないし、医療機器が停止すれば患者の生命や身体状態に危険が及ぶこともある。
こうした脅威に対してどのような取り組みが求められるのだろうか。北野氏によれば、まず、IoTのセキュリティ対策ではこれまでの情報セキュリティ対策とは異なるアプローチが必要になるという。
従来のITシステムにおけるセキュリティでは、情報セキュリティの三要素といわれる「CIA」の中でも「C」の機密性(Confidentiality)を重視する傾向が強い。背景としては、個人情報や知財などの機密情報は実際にサイバー攻撃の対象とされるケースが多いことや、万一漏えいすれば信用失墜や賠償などで大きなダメージを受けることがあるだろう。これに対して、IoTを活用したサービスのセキュリティにおいては「A」の可用性(Availability)がより重要になると北野氏は指摘する。
「医療機器や自動運転車の停止は人命に関わる深刻な問題を起こす可能性があり、何より可用性が求められます。『CIA』から『AIC』へのシフトを意識する必要があるでしょう。加えて、IoTではセキュリティだけではなく物理的な安全性の『セーフティ』も十分に考慮しなければなりません」
「セキュリティ・バイ・デザイン」で設計段階からセキュリティを組み込む
IoTに関連したセキュリティの技術的な指針としては、IPAや総務省、経産省がさまざまなガイドラインを公開している。Webアプリケーションのセキュリティ向上を目的とした国際的なコミュニティOWASPでも「OWASP Internet of Things Project」を展開しており、プロジェクトの成果として各種のドキュメントがある。
- 『IoTセキュリティガイドライン ver 1.0』(IoT推進コンソーシアム、総務省、経済産業省)
- 『IoT開発におけるセキュリティ設計の手引き』(IPA)
- 『つながる世界の開発指針(第2版)』(IPA)
- OWASP Internet of Things Project
これらに加えて北野氏が推奨するのが、米NISTの『Security Considerations in the System Development Life Cycle(情報システム開発ライフサイクルにおけるセキュリティの考慮事項)』だ。
- 『Security Considerations in the System Development Life Cycle(情報システム開発ライフサイクルにおけるセキュリティの考慮事項)』(NIST)
IoTに特化しているわけではなく、どちらかというとソフトウェアを中心としたシステムを対象としたものだが、システム開発ライフサイクル(SDLC)全体の中でどのようにセキュリティを組み込んでいくか、それぞれのプロセスで何をすべきかが解説されている。
「IoT機器やサービスの開発ライフサイクル全体でセキュリティを考えること、特に、より早い段階からセキュリティを組み込む『セキュリティ・バイ・デザイン』を実践することが重要です」(北野氏)
IoT機器の設計・開発段階においてセキュリティを組み込んでいく大まかな流れは、次のとおり。
まず最初の開発計画では、IoT機器およびそれを使ったサービスで「何が重要なのか」を考え、守るものを明確化する。基本設計の段階では、どういう問題が起こりうるのか、どんな方針で対応するのかを考え、セキュリティの基本的な枠組みを決める。詳細設計の段階では、基本設計として暗号や認証、耐タンパー性の設計・実装などを行う。
出所:デロイトトーマツリスクサービス株式会社 北野晴人氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
続いて、採用したセキュアコーディングのルールに従ってソフトウェアを作成するとともに、テストケースを作成。あわせてハードウェアを開発し、プロトタイプに落とし込む。そして、テスト・修正の段階では、脆弱性検査を実施して少なくとも既知の問題については穴がないか確認。リリース(出荷)判定にあたっては、設計されたとおりにセキュリティの機能が動いているかをしっかりとチェックする。
こうしたセキュリティ・バイ・デザインを基本とするIoTのセキュリティ対策を効率的に進めるためには、組織内の体制やルール作りも欠かせない。工業製品であるIoT機器の設計・開発部門は決して情報セキュリティのエキスパートではないし、情報セキュリティの管理を担う部門(情報システム部門が多い)は工業製品の開発プロセスを熟知しているわけではない。両者がスムーズに連携・協力し合える体制を構築するとともに、IoT製品の設計・開発に関する一元的なセキュリティポリシーの策定および標準化が必要だ。一部はセキュリティポリシーというよりも、製造業における開発標準や品質管理基準に組み込むという形もありえるだろう。
また、IoT製品の出荷やサービス開始後に問題が起きた場合のインシデント対応の体制も整備する必要がある。具体的には、IT関連のインシデントレスポンスチームである「CSIRT」の考え方を製品(プロダクト)に当てはめた「P-SIRT」の設置などを検討することになるだろう。
出所:デロイトトーマツリスクサービス株式会社 北野晴人氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
多くのIoTサービスで必須の「プライバシー保護」も設計から組み込む
IoTを活用したサービスでは、ユーザーの個人情報を収集・活用するケースが多い。ウェアラブル端末やスマート家電をはじめとしたIoT機器では、位置情報や利用履歴、体温・血圧・歩数といった身体的な情報など、さまざまなパーソナルデータを容易に吸い上げて収集できる。それらを有効に活用することで提供するサービスの質が上がり、さらに新たなサービスやビジネスを生み出すことにもつながる。
しかし、それらのメリットを享受する前提として、当然ながらユーザーのプライバシー保護のための対策が必須となる。国内では2017年に改正個人情報保護法の施行、EUでは2018年よりGDPR(EU一般データ保護規則)適用開始と、プライバシー保護に関わる法制度は大きく変わりつつあるが、IoTを活用したサービスの展開にあたっては、こうしたコンプライアンス要求にも厳格に対応していかなければならない。
また、適法性だけでなく、ユーザー自身のパーソナルデータ利用に対する抵抗感やマスメディアからの批判といったリスクも考えられる。いずれにしても、「データの活用」と「プライバシー保護」のよりよいバランスに配慮することが必要だ。
なお、こうしたプライバシー保護の対策についても、設計段階でプライバシーへの影響度を事前に評価する「プライバシー影響度評価(PIA)」を行い、適切な対策を組み込んでいく「プライバシー・オブ・デザイン」というアプローチがある。
「IoT機器やサービスを作る際には、セキュリティもプライバシー保護の仕組みも最初から設計に入れて、ライフサイクル全体に組み込んでいくことが重要です」と北野氏は最後に強調し、講演を終えた。
