IoTコラムの第１回の中に「近隣の住人の冷蔵庫の中の状況をスーパーの仕入れ担当が把握できるようになれば、食材の仕入量を調整するという活用も想定されます。」と記載しました。この文章を読んで気が付いた方もいらっしゃると思いますが、このようなデータを利用する仕組みを構築する際には注意点があります。それは冷蔵庫の中の状況を把握したいのはスーパーの仕入れ担当者だけではなく、世の中にはその情報を悪用する人もいるということです。冷蔵庫に保管されている食材の量が数日間変化しなかったとすれば、その家は留守であることが予想できます。旅行中にリアルタイムでFacebookに情報を投稿して、留守であることがわかってしまう危険性と似ていますね。それ以外にも冷蔵庫がネットワークにつながることで、外部からの攻撃の入口になってしまうといった点も考えられます。このような問題を防止するために、システムの設計者も利用者もつながることによる危険性を十分理解し、注意することが必要です。

日本国内ではIoTに関するセキュリティの整備が少しずつ進みつつあります。総務省と経済産業省は利用者が安心してIoT 機器やシステム、サービスを利用できる環境を生み出すことにつなげることを目的として「IoTセキュリティガイドラインver1.0」を2016年7月5日に公表しました。IoT 特有の性質とセキュリティ対策の必要性を踏まえて、IoT 機器やシステム、サービスについて、その関係者がセキュリティ確保等の観点から求められる基本的な取組が明確化されております。ガイドラインは5つの指針と「一般利用者のためのルール」から構成され、指針はそれぞれ「方針」「分析」「設計」「構築・接続」「運用・保守」があり、具体的には「IoTの性質を考慮した基本方針を定める」「IoTのリスクを認識する」「守るべきものを守る設計を考える」「ネットワーク上での対策を考える」「安全安心な状態を維持し、情報発信・共有を行う」となっています。

ところでなぜIoTに関して今セキュリティが重要視されているのでしょうか？現在インターネットにつながるモノが急激に増加しており、普及後にセキュリティの問題に気が付き対応しようとすると、多大な労力と時間がかかるのが理由の１つにあると思います。例えばA社で製造・販売しているIoT製品にセキュリティの脆弱性が発見されたとしましょう。A社が製品の設計時に脆弱性が発見された場合まで想定していたのであれば、製品の修正プログラムを利用者に配布する機能を標準で搭載し、脆弱性が発見されたタイミングでそれに対応したプログラムのリリースを利用者にアナウンスして問題を解決することができます。もしA社が設計時にセキュリティを考慮していなかったとすれば、対応するにはリコールを行い、製品を回収する必要がでてきます。場合によってはA社にはこの問題を対応する体力がないかもしれません。このようにセキュリティを考慮せずに製造し、脆弱性の対応に時間がかかってしまうと、攻撃の踏み台に利用される危険性があり、それを防止するために長期間システムを停止するなどの必要が出てきます。

IoTのセキュリティが重要視されるもう１つの理由は人命にかかわる場合があるということです。自動車へのハッキングによる遠隔操作により事故が起こせることが証明され、140万台にも及ぶリコールを実施した例があります。このような問題は人命が奪われるような事故が起きてから対応していたのでは手遅れです。そもそも事故が起きたときの調査でハッキングによる遠隔操作が原因であると特定されるかどうかさえ定かではありません。

今回はIoTのセキュリティついてお伝えしました。これ以外にもセンサーからのデータをSSLで暗号化しようとしても、デバイスのパワーが非力すぎて対応できないなど、IoTのセキュリティに関して検討すべき事は沢山ありますので、今回ご紹介したガイドライン等を参考にしてみてはいかがでしょうか。当社では通常のICTのセキュリティは当然ですが、IoTのセキュリティに関する情報にも常にアンテナを張りながら、安全にICT利活用できるようなシステムを提供して参ります。