自動車・医療分野で急務のセキュリティ課題とは?企業の実践者たちがIoT時代のセキュリティ対策を語る (1/3):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

自動車・医療分野で急務のセキュリティ課題とは?企業の実践者たちがIoT時代のセキュリティ対策を語る

2017/10/20 06:00

 自動車、医療分野などのIoT機器へのサイバー攻撃では、生命や身体の損害、事故などにつながる可能性がある。様々な産業領域でIoTが本格化するなかで、企業・組織のセキュリティ担当者は、従来のセキュリティ対策に加えて、どのような観点での対策が必要となるのか。9月12に開催した「Security Online Day 2017」(主催:翔泳社)では、「企業の実践者たちが語る、IoT時代のセキュリティ対策における課題~自動車・医療分野を中心に~」と題したパネルディスカッションが行われた。自動車、医療および情報セキュリティ全般に深く関わる4名のエキスパートが集まり、明治大学ビジネス情報倫理研究所の守屋英一氏の司会のもと、それぞれの立場から意見を交わした。

▲パネルディスカッション 出席者(写真、左から)
  • 守屋 英一氏(明治大学ビジネス情報倫理研究所 客員研究員、内閣サイバーセキュリティセンター上席サイバーセキュリティ分析官)
  • 古田 朋司氏(トヨタ自動車株式会社 情報セキュリティ推進室 主査)
  • 中後 淳氏(医療法人鉄蕉会(亀田メディカルセンター)最高情報責任者)
  • 茂岩 祐樹氏(株式会社ディー・エヌ・エー システム&デザイン本部セキュリティ部 部長)
  • 原子 拓氏(株式会社ラック セキュリティコンサル部 エバンジェリスト、日本シーサート協議会 運営委員)

本格化するIoTへのサイバー攻撃

 司会の守屋氏が1つめのテーマに選んだのは「サイバー攻撃の課題」。IoT機器にも感染が広がったマルウェア「WannaCry」の世界的流行や、自動車の不正な遠隔操作を可能にするドライブコネクタの脆弱性発覚など、2017年に起きた事例を挙げながら、各分野におけるこうした脅威の実態を尋ねた。

 古田氏は、ハッキングによる「自動車の乗っ取り」について説明する。

 「トヨタのプリウスも2013年のセキュリティ関連イベント『DEFCON』でハッキングの対象とされ、ブレーキやハンドル、エンジン操作を可能にする手法が紹介されました。これは物理的に車内のコネクタから有線で侵入する方法でしたが、2015年にはジープ・グランドチェロキーを無線で外部から遠隔操作するというハッキングの成功が報じられ、業界全体が騒然となりました」(古田氏)

トヨタ自動車株式会社 情報セキュリティ推進室 主査 古田 朋司氏

 茂岩氏が情報セキュリティを統括するディー・エヌ・エー(DeNA)グループも、自動運転技術等を活用したオートモーティブ事業を展開しており、こうした攻撃で直接的に被害を受ける可能性のある当事者だ。茂岩氏は対策の1つとして、ハッキング手法にも精通した技術者育成が必要だと述べる。

 「インターネットなどで詳細な情報も公開されていますが、車のハッキング手法は非常に難易度が高く、幅広い知識・技術を組み合わせ、複雑な手順を踏んで初めて成立するような攻撃です。そのような攻撃者に匹敵する高度な技術力がなければ、効果的な防御の対策も立てられません。守る側として、攻撃手法の研究や技術トレーニングへの積極的な投資も重要になってくると思います」(茂岩氏)

 医療の現場でハッキングの標的となりうる機器の例として中後氏が挙げるのは、「ペースメーカー」だ。

 「ネットワークにつながる医療機器も増えてきていますが、セキュリティの観点から見ると、まだまだ甘い部分が多いと感じています。たとえば、遠隔モニタリングなどの通信機能付きのペースメーカーがハッキングされて外部から操られてしまう危険性があるという話を聞いたことがあります。医療機器については、今のところは、お金にならないので攻撃者にとって狙うメリットが少なく、実際の被害に遭わずに済んでいるという状況なのかもしれません」(中後氏)

 自動車や医療機器をはじめ、このようなIoTの脆弱性を狙ったサイバー攻撃は今後ますます増えていくと原子氏は予想する。

 「ラックのセキュリティ監視・運用サービス拠点『JSOC』では現在、約900団体・約2,000センサーを監視・分析対象としており、重要インシデントが1日あたり数件発生しています。IoTは監視対象ではありませんが、IoTデバイスとそれに対する攻撃の増加に伴い、今後は監視していくことになると思います。そうなれば、インシデント発生件数が激増するのは間違いないでしょう」(原子氏)

株式会社ラック セキュリティコンサル部 エバンジェリスト
日本シーサート協議会 運営委員 原子 拓氏

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2017 イベントレポート

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5