いかにリスクを減らすべきか。IoT普及のための課題をトレンドマイクロのマネジャーに聞いた

世界中で急速に進む、モノのインターネット接続(IoT)。生活の利便性向上が見込まれる一方で、IoT特有のセキュリティ問題が発生すると見られています。富士ゼロックスが今年3月にシンガポールで開催した「DocuWorld 2015」で、モノのインターネットにおけるセキュリティ問題が主な議題として取り上げられました。

今回、同イベントに登壇されたサイバーセキュリティの専門会社トレンドマイクロのシンガポール現地法人のカントリーマネジャー、David Siah氏に、IoT分野では今何が起こり、どのような脅威が出ているのかを聞きました。

トレンドマイクロ(シンガポール)のカントリーマネジャー、David Siah氏

トレンドマイクロ(シンガポール)のカントリーマネジャー、David Siah氏

 

ヒトからモノのみならず、モノ同士のコミュニケーションが可能に

―IoTの普及はどのような影響をもたらすとお考えですか。

IoTは、これまでにないほどヒトとモノのネットワークを広げています。IT分野のリサーチ企業「ガートナー」の調査 によれば、ネットワークにつながったモノの数は2020年までに250億に拡大すると見込まれています。つまりIoTは収益を改善し、ビジネスを変える革新的な転換をもたらすものだと信じています。

―トレンドマイクロがIoTの領域に関わるのはなぜですか。

われわれは現在、標的型攻撃や持続的標的型攻撃(APT)などの攻撃ベクトルを分析対象としていますが、ネットワークの広がりとセキュリティ対策について将来的な計画を持っています。その計画の一環として、IoTがこの3年間、われわれの分析対象となってきました。先ほどもお話したように、IoTはビジネスのあり方を変えるポテンシャルを持っているもので、非常に重要なメガトレンドとして位置づけています。IoT領域への関わりを強めれば強めるほど、何が脅威になるのかを見極め、その対処方法を見いだすことが可能と考えています。

―IoTの普及でどのようなことが起こるとお考えですか。

近年、家の中にあるほとんどのモノがインターネットにつながるようになりました。オフィスや工場の設備などもインターネットにつながっています。何十億、何百億のモノがインターネットにつながるに伴い、経済やビジネスに対するインパクトは非常に大きなものになっていきます。 この規模を考慮すると、企業のCIO(最高情報責任者)とITチームにとってサイバーセキュリティが差し迫った問題として浮上してくるのです。この問題こそ、われわれが解決したいものなのです。システムの脆弱性をつかれる前に守る必要があるのですが、IoT領域において、パソコン、スマートフォン、タブレットなど既存デバイス向けのセキュリティ対策が十分に機能しなくなることが考えられます。

毎月何百というソフトウエアに脆弱性が見つかります。しかし、脆弱性をすぐに修復するにはコストがかかりますし、エラーも起こりやすくなります。場合によっては不可能なときもあります。このような脆弱性問題に対して、企業はバーチャル・パッチング・ソリューション(VPS)を使うことができます。トレンドマイクロでは「ディープ・セキュリティ」というソリューションを提供しています。VPSを使うことで、コストをかけず、緊急のパッチングを実施できるようになります。

こうしたことを踏まえ、IoTが企業のセキュリティに与える影響に関して3点指摘できると思います。

1つ目は、IoTと企業のネットワークに必ず接触ポイントが生まれるということです。IoTが普及すれば、ネットワーク・セグメンテーションやエアギャップに関係なく、企業ネットワークとIoTが接触するポイントが必ず出てきます。これらの接触ポイントは脆弱性が高く、この状態を放置してしまうと、企業内もしくはクラウド上にある重要データへのアクセスをコントロールすることが非常に難しくなります。

2つ目は、IoTは異種混合の世界になることが挙げられます。IoTにおけるほとんどの「モノ」は、オペレーティング・システムとアプリケーションがセットになったハードウエアデバイスです。これらは、多種多様な形態になると考えられます。そうなると、IT技術も多様化することになります。例えばプロトコルでは、現在主に使われているTCP/IP, 802.11やHTML5の代わりに、Zigbeeなどの新しいプロトコルが使われるようになるでしょう。

3つ目は、IoTが物理的・身体的損害につながる可能性です。これまでインターネット上の脅威はデータへのダメージとなっていましたが、IoTでは物理的・身体的なダメージを与えるリスクを抱えています。例えば、自動車、エアコンなど日常で利用しているモノに対するサイバー攻撃が増えてくると予想できます。さらに、企業の中では、プリンター、コピー機、ウェブカムなどネットワークにつながったモノの脆弱性が高まることも考えられます。

富士ゼロックスがシンガポールで開催したイベント「DocuWorld 2015」の様子

富士ゼロックスがシンガポールで開催したイベント「DocuWorld 2015」の様子

サイバー犯罪対策が深刻な課題に

―ビッグデータを活用したIoTの現状と、今後の展開に関してどのような見解をお持ちですか。

米連邦取引委員会(FTC)がこのほど発表したリポート「Internet of Things: Security & Privacy in a Connected World」では、世界中で同時並行して増加しているモノのインターネットへの接続と、それに伴うセキュリティリスクに関して言及されていました。

このリポートから分かるのは、IoTが世界中で拡大するに伴い、特有の課題が明らかになりつつあるということです。これらの課題は大きく4つに集約されます。

まず1つ目は、重要情報への無断アクセスやその不正利用が増えるということです。IoTでは、個人の健康データ、工場データや管理システムに関するデータが生み出されることになります。これは、サイバー犯罪の格好のターゲットです。

2つ目。IoTに関連する周辺システムにもリスクが拡大することです。IoTが普及するということはIPネットワークが拡大することを意味します。そのため、これまでパソコンに限定されていた脅威が、その他のシステムに波及する可能性が高まる危険があるのです。

3つ目に、安全性が挙げられます。IoT領域の中でも特に期待されているのが、医薬や健康を管理する機能です。これらは、少しのズレが致命的な事故につながる可能性がある分野です。例えば、心臓ペースメーカーなどがあります。

4つ目は、プライバシー問題です。家やオフィスでインターネットに接続されたモノが増えることで、監視ネットワークが強化されます。一方で、個人の詳細な情報が盗まれ、アンダーグラウンド市場で販売される、そんなリスクが伴うのも事実です。

BYOD(私的デバイス活用)でスマートフォンやタブレットを導入する際、有効なセキュリティ対策を模索するのに時間がかかったように、IoTでも同じような状況になることが予想されます。そのような状況が見込まれる中で、積極的な姿勢でセキュリティを高めることがIoTにおいて特に重要な戦略と言えます。セキュリティソフトをインストールして、問題が起こるまで放置しておくような消極的な姿勢はIoTを実施する上で避けるべきでしょう。IoTではデータ量が爆発的に増えるため、放置しておくと手がつけられない状況になることが十分考えられるからです。

IoTを導入する企業にとって重要なのは、責任を持ってセキュリティに積極的に取り組んでいるベンダーを選ぶようにすること、そしてその姿勢を示すことにあると考えています。そうすることで、セキュリティに対して意識の高いベンダーに明確なメッセージを送ることができ、高いセキュリティの導入につなげることができるのです。

IoTは比較的新しい分野です。ですから、参入企業の多くにサイバーセキュリティにおける経験が十分ではない場合が見受けられます。IoTは、パソコンなどのハイテク機器と多種類のローテク機器、さらに機器同士がインターネットでつながるものなので、セキュリティ対策も以前に比べ複雑になります。こうしたことを見据えセキュリティを高めていくことが、リスクを低減しながらIoTを普及させるカギだと考えています。