「IoTセキュリティ」で、
日本のモノづくりは
新ステージへ

PROFESSIONAL

第4次産業革命(DX革命)への挑戦に必須なIoTセキュリティ

全てのモノ(デバイス)をインターネットに接続する手段であるIoT(Internet of Things)。これまでデジタル処理されていなかったさまざまなフィジカル(物理)情報を、センサーで取得しデジタル情報に変換し、AI(人工知能)などで加工、解析することでこれまでにないインテリジェントな活動に役立てていく。そんな第4次産業革命におけるキーテクノロジーの一つであるIoTは、モノとデジタル(IT)をつなぎ合わせるキーフレームとして、多くの企業で導入が進められている。これは、デジタルテクノロジーを駆使し、経営の考え方やビジネスプロセスを再構築するデジタルトランスフォーメーション(DX)におけるキーテクノロジーとしても注目されているのは言うまでもない。

デジタル化が進んだ社会ではモノやデジタルの垣根がなくなり、住宅や家電、監視カメラや自動車など全てのモノやデジタルがネットワークでつながり連携することで、多くのイノベーションが創出される。

「例えばウーバー(Uber)の配車システムにみられるように、自動車やスマートフォンなどのリアルなモノと、それを効率的に運用するデジタルが融合することによって、モビリティ業界には革命が起きています。いわばモノというリアルな世界と、デジタルというバーチャルな世界をつなぐIoT、つまりコネクテッドワールドが社会に大きな変革を起こしています。日本にはたくさんのモノづくり企業があり、モノづくりには強みがあります。したがって第4次産業革命は、やり方を間違わなければ日本の企業にも十分、勝機のある時代と言えます」

そう話すのは、デロイト トーマツ サイバー シニアマネジャーの松尾正克だ。

社会基盤としてのIoT化が進む一方で、IoTにおけるデバイスの管理の難しさも浮き彫りになってきている。デバイスを狙ったサイバー攻撃の脅威はますます増大し、それを考慮したセキュアな製品開発・製造は喫緊の課題だ。とはいえ、セキュリティ機能にお金をかけ過ぎて市場における価格競争力を失っては意味がない。今後、企業は真剣にIoTセキュリティに向き合う必要があるだろう。

「日本のモノづくり企業が非連続な成長をしていくためには、まさに今、IoTをベースにした第4次産業革命(DX革命)にチャレンジする必要があります。しかし、このチャレンジにはセキュリティという巨大なリスクが伴います。第3次産業革命(情報革命)においてもセキュリティは課題でした。しかしそれは、サイバー攻撃を受ける企業が『被害者』になるというセキュリティリスクで、社会的影響は限定的でした。しかし全てがつながり合う、すなわちコネクテッドワールドでは、サイバー攻撃はつながる全てのデバイスに悪影響を与えることから社会的影響は桁外れに大きくなります。また、コネクテッドワールドにおいては、セキュリティ対策の不備を放置している企業は顧客をはじめとするステークホルダーから見れば『被害者』ではなく、攻撃者をほう助する『加害者』に見えることにも注意を払う必要があります」

松尾が指摘するのは、セキュリティ対策における『被害者視点』から『加害者視点』への180度異なる発想の転換である。大手電機メーカーでモノづくりの現場にも携わってきた松尾は、第4次産業革命下で必要なIoTセキュリティの視点について次のように話す。

松尾 正克 / デロイト トーマツ サイバー合同会社 シニアマネジャー
IoTセキュリティ分野でさまざまな機器の基礎研究や開発に15年以上にわたり従事。IoTセキュリティの設計コンサル、教育、講演の実績多数。工場などのセキュリティ対策にも関与し、サイバーセキュリティの各種委員を歴任。

セキュリティをデザインする考え方を持つ

「『加害者』になり得る以上、企業は、ステークホルダーに対して、セキュリティ対策で『説明責任』を果たすことが求められます。そこで重要になるのが、セキュリティ・バイ・デザインです」

セキュリティ・バイ・デザインとは、内閣サイバーセキュリティセンター(NISC)などさまざまな機関から提唱されているように、企画・設計段階においてセキュリティ脅威を洗い出し、そのセキュリティ対策を検討しようというものだ。これは「なぜそのようなセキュリティ対策を施したのか」を示す証拠としても重要だ。

「しかし、これを従来のITセキュリティのような『被害者視点』で検討してはいけません。『被害者視点』であれば、セキュリティ脅威の洗い出しや対策検討を主観的に行なっても問題にはなりませんが、これでは説明責任を果たせません。説明責任を果たすには客観性が必要です。具体的には、セキュリティ・バイ・デザインにおいて『セキュリティ脅威の洗い出しにおける網羅性』と、個々のセキュリティ脅威に対する『セキュリティ対策の客観的な妥当性』を可視化する必要があります。各企業の方には、正しい手法でセキュリティ・バイ・デザインを進められることをお勧めします」

また、セキュリティ・バイ・デザインにおいて配慮すべきもう一つの重要なポイントはコストだ。

「これまでのセキュリティ対策(ITセキュリティ)の延長線上で、いきなりセキュリティ機能を考えたり、ベストプラクティスを採り入れようとしたりすると、機能過多の過剰装備に陥りコストが膨らむため、デバイスのセキュリティ対策には適さない場合がよくあります。よくITセキュリティとIoTセキュリティの違いを説明するときに例えに出すのが、<高級寿司>と<回転寿司>の違いです」

松尾はこの例えについて簡単に解説してくれた。

「高級寿司は、美味しさを追求した握りを考える『設計』を行い、『実装』においてそれに見合う食材を仕入れます。したがって、寿司は高価になりがちです。一方、回転寿司は低価格な食材を先に仕入れるなど『実装』の一部を先に実施し、その後に美味しい握りを考える『設計』を行うので、寿司を低価格で提供できます。価格を強く意識しなければならないIoTセキュリティでも、回転寿司と同じ“開発購買”の発想が非常に有効です。ITセキュリティのようにウォーターフォールで検討するのではなく、先にセキュリティ機能(価格)を決めて、セキュリティ・バイ・デザインを実施するのが良いでしょう。IoTセキュリティは、このような“開発購買”をはじめとする日本のモノづくりの現場発想力が強みとなる分野です。その強みがさらに発揮されるIoTビジネスのあり方を我々から今後どんどん示していきたいと考えています」

IoTによる第4次産業革命でさらなる成長ステージを目指す

「日本は人口減少に転じ、製造業にとって厳しい時代になってきています。安く物を作るるのではなく、どう高付加価値の物を作って国際競争力を維持しながら生き残っていけるか、モノづくりの会社がコト売りに変革しようとしているのもこうした流れからです」と、デロイト トーマツ サイバーのパートナー 北野 晴人は話す。

北野 晴人 / デロイト トーマツ サイバー合同会社 パートナー
二種通信事業者、外資系通信機器べンダーなどを経て、リレーショナル・データべース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。情報セキュリティ大学院大学客員研究員。博士(情報学)、(ISC)2アジア・パシフィック・アドバイザリーカウンシルメンバー。

「それはもちろん必要なことではあります。しかし、それに加えて大事なのは100円で絶対に作らなくてはいけない物を、よりよく安全に安く作れるかどうか。日本製は高品質と言われてきましたが、インターネットにつないでも極めてセキュアな製品を安く作れるか? がチャレンジです。これは日本が長年、何銭何十銭とコストを削りながらも、良い製品を作ることをやってきた製造のノウハウや力が、最大限発揮できる新しい産業の場だと思います」

つまり安全で安く、かつ高品質なIoTデバイスという信頼を、日本のモノづくり企業が世界から勝ち取ることが「次」につながる。

北野・松尾は「それができるのは国際市場の中でも、モノづくりに真摯に取り組んできた国だけ」と声を揃える。「アジアでそれが可能な国は、日本を含めごく限られた国・地域だけだと思っています。この先10年、20年の日本を考えた時に、このIoTセキュリティ分野を支援することは、結果として日本産業全体のためになると確信しています」

北野は日本が圧倒的シェアを誇るデジタルカメラやオフィス複合機を題材にしながら「日本のモノづくり企業にはたくさんの得意技術がある。それがこれからネットワークにつながっていく時代になる。IoTで日本のモノづくりが飛躍できるチャンスは無数にあるんです。セキュリティ・バイ・デザインに基づく設計・施工。それをPSIRT(Product Security Incident Response Team)につなぎ、最後にSOC(Security Operation Center)によって24時間監視をするというバリューチェーンを構築する。こうしたプロセスを企業の方々と一緒に一貫して推進することを通して、このチャンスを現実のものにしたいですね」と力強く語る。

松尾も「日本は、ITでは他国に先を許してしまったけれども、IoTによってこれからいよいよ本格化するデジタルトランスフォーメーション(DX)の時代で、また世界をリードするポジションに立てる。私たちの仕事は、そのために存在すると思っています」と続けた。

アメリカのセキュリティの専門家であるブルース・シュナイアーは『信頼と裏切りの社会』で次のように書いている。

“信頼についての検討は、セキュリティで始まり、セキュリティで終わる。というのも信頼がまったくないときに必要なのがセキュリティであり、セキュリティこそ最終的に、私たちが社会から信頼を引き出す手段だからだ。それはリスクに耐えられる水準まで引き下げ、残ったギャップを信頼が埋められるようにする。”

二人の取り組みは、IoTによる日本のモノづくり産業の新たな信頼をセキュリティによって勝ち取る取り組みとも言えるだろう。

RELATED TOPICS

TOP

RELATED POST