ナレッジ

IoTが企業にもたらすリスク

TMT Predictions 2019

日本の視点:DXに潜むセキュリティ脅威と機器設計段階からの対策

急伸するIoTとその脅威

前章「IoT活用における課題と処方箋:実証実験の壁を超えるには」でも取り上げたげたように、IoTは消費者にとっても身近になり、IoT利活用を通して自社のビジネス変革に挑戦する企業が増えつつある。しかしこの変革を成功に導くには、その先にある、IT部門だけでは対処できないIoTにおけるセキュリティリスクについても目を向けておく必要がある。

特に、サイバー攻撃対策について「機器を販売した企業がその責務を負う」という法律が日本においても定められる見通しであり、IoT機器を販売・製造する企業では対策は必須となりつつある1

本稿ではIoT機器が抱えるリスクを概観しながら、そのセキュリティ対策の勘所を、設計の段階からセキュリティを検討する「セキュリティ・バイ・デザイン」というIoT先進企業が取り入れる手法を踏まえて紹介していく2

2020年までに、コネクテッドカー、デジタルヘルスケア、スマートファクトリー、スマートシティ、スマートホームなどで利用される新たなIoT機器の台数は全世界で数百億個に達し、スマートフォンや通信機器を超えると予想されている3

IoT機器が急伸する背景には、デジタルトランスフォーメーションへの関心の高まりがある。変化の激しい社会で中長期的に生き残るべく、先進企業はデジタル技術を用いてビジネスプロセスを再構築し、商品やサービスの付加価値を向上するデジタルトランスフォーメーションを加速させている。その際、製造現場や都市におけるサイバーフィジカルシステム(CPS)の実現や、顧客体験(UX)の刷新といった様々な取り組みのなかで、IoTデバイスを起点に、通信、プラットフォーム、ストレージなどを組み合わせて、情報を収集、蓄積、可視化、分析、フィードバックする一連のプロセスを実現している。

IoTシステムの付加価値は、他社のIoTシステムとつながることで飛躍的に向上する。例えば、自動農業トラクター(IoT機器)は、位置情報サービス(IoTサービス)とつながることで無人耕作が可能となる。また、インダストリー4.0、 インダストリアルインターネット、 ソサエティ5.0で提唱されているように、サプライチェーン全体でIoTシステムがつながれば、生産や販売においても大幅な省力化や効率化を期待できる。

しかし、このような連携は著しい効果をもたらす一方で、関連企業にサイバー攻撃の被害を波及させる副作用も生み出す。さらにこのリスクはIoTの普及とともに巨大化する。

例えば、GPS(Global Positioning System)衛星がサイバー攻撃を受けると、これにつながる自動農業トラクター(IoT機器)は動作不能となり、耕作作業は停止する。もし自動農業トラクターが普及している世界になっていればこの事態は食料危機を招くことにもなるかもしれない。戦略国際問題研究所とマカフィーの試算4によれば、2017年のサイバー攻撃による全世界の被害額は約6,000億ドル(GDPの0.8%相当、国内は約1兆円)で、すでに東日本大震災の被害額17兆円を超えている。このままIoTの普及が進めば、サイバー攻撃による被害額はこれら巨大災害をはるかに超える危険性がある。

このような状況に対し、日本では内閣府総合科学技術・イノベーション会議が推進するSIP(戦略的イノベーション創造プログラム)においてIoTセキュリティの研究開発を推進している。具体的には、「重要インフラ等におけるサイバーセキュリティの確保5」や「IoT社会に対応したサイバー・フィジカル・セキュリティ6」等の事業・プロジェクトが実施されている。また、国民の生命に直結する重要インフラ14分野(情報通信・金融・航空・空港・鉄道・電力・ガス・行政・医療・水道・物流・科学・クレジット・石油)に対しては、サイバー攻撃の対策指針を改定することで、IoTセキュリティの強化に動いている7

これに加え、NICT(国立研究開発法人情報通信研究機構)がIoT機器に実際に侵入してテストを行い、利用者にプロバイダを通じて注意喚起を行うNOTICEという取り組み8が2019年2月から開始され話題になっているが、国が関与できるのはIoTセキュリティの一部でしかなく、これらの施策だけでIoTシステムへのサイバー攻撃を止めることはできない。IoTシステムを安全なものするには、これに関わる各企業の真剣なセキュリティ対策が必要となる。

IoT機器を攻撃するハッカー

IoTシステムにはその構成要素であるIoT機器やプラットフォームなどの関連サービスに複数の攻撃ポイントが存在するが、セキュリティ対策で特に注意を要するのはIoT機器である。IoT機器は、パソコンやクラウドなどに比べてセキュリティ対策が一般的に脆弱で、かつ台数が膨大なので、サイバー攻撃する際の踏み台として利用されやすい。つまりハッカーにとって費用対効果のよい攻撃ポイントになっている。

例えば、2008年のトルコの石油パイプライン爆破事件では、確実な証拠はないもののハッカーは監視カメラ(IoT機器)にサイバー攻撃をかけ、これを踏み台にしてシステムに侵入し、原油圧力を高めてパイプラインを爆発させたと考えられている9。また、2016年のMirai(マルウェアの一種)によるサイバー攻撃では、ハッカーはネットワークカメラや家庭用ルーター(IoT機器)などにサイバー攻撃をかけ、これを踏み台にツイッターなどのサービスに対しDDoS(Distributed Denial of Service)攻撃してサービス不能にした10

このようにIoT機器は絶好の攻撃ポイントであるため、IoT機器へのサイバー攻撃は今も増加し続けている。これはNICTの「NICTER観測レポート2017」11からも明らかである。NICTは、大規模サイバー攻撃観測網でインターネット上でのハッキングを目的とした不正通信を毎年観測している。この報告書を読めば、2017年に観測された不正通信は2016年比で約1.2倍の1,504億件にのぼり増加傾向にあること、うち54%はIoT機器を狙う不正通信であり、IoT機器への攻撃が非常に多いことが分かる。

しかし、残念ながら企業側の認識は十分とはいえない。経済産業省が2017年11月に発表した「サイバーセキュリティ経営ガイドラインVer2.0」によれば、サイバー攻撃の発覚は、実に53%が外部の指摘によるものである12。ハッカーは気づかれないように攻撃する上、IoT機器を踏み台にする場合は保有企業には実害を与えない(踏み台にされた機器のパフォーマンスは若干落ちるものの、軒先を借りていることに気付かれないようにその企業自体を攻撃することはない)ので、サイバー攻撃の監視体制が十分でなければサイバー攻撃には気付きにくい。

IoT機器がもたらす企業リスク

従来、サイバー攻撃を受けた企業は被害者という立場であった。しかし、容易に踏み台にされるIoT機器を放置している企業は、サイバー攻撃を受けた企業からはハッカーをほう助している加害者になりえる。また、システムに容易に侵入されるIoT機器を放置している企業も、IoTシステムでつながる企業からはこれもまたハッカーをほう助している加害者に見える。したがって、IoT機器のセキュリティ脆弱性を放置したままでいると、自社の被害リスクが増大するだけでなく、加害者としての訴訟リスクも抱え込むことになる。

実際に2015年には、日本を含む複数の自動車会社が、事故などの損害を与えてないにもかかわらず、セキュリティ脆弱性が指摘されている車を修正せずに販売したということで、米国カリフォルニア州で集団訴訟を受けている13。また同じく2015年、米国政府が納入企業に対してセキュリティ要件としてNIST SP800-17114を義務付けたことで、IoT機器のセキュリティ脆弱性に対して無作為の企業は、納入業者のみならずサプライチェーンでつながる企業でも民事責任や刑事責任に問われる可能性が出てきている15

これは米国のみの話ではない。日本でも2020年4月から総務省がIoT機器のセキュリティ対策を義務化する。こうしたIoT機器を販売する企業は対応が必須となる見込みである16。また国防という意味でも、セキュリティ対策が機器購入の重要要件となってきている。防衛装備庁は防衛省が指定する情報を取り扱う防衛関連企業に対して、NISTと同水準の情報セキュリティ基準に強化する方針を打ち出している17

IoT機器のセキュリティ対策における課題

しかし、IoT機器のセキュリティ対策は一筋縄ではいかない。商品であるIoT機器には、セキュリティ対策において網羅性や妥当性(十分な根拠)といった説明責任が求められる。そのため、低価格なIoT機器であっても半端な対策や手抜きは許されず、セキュリティ対策に一定のコストが発生する。しかし、顧客は価格を考慮してIoT機器を購入するため、セキュリティ対策に費やすことができるコストには厳しい上限が存在する。

一般的にセキュリティ強度はコストに比例するので、この課題解決は容易ではない。さらにIoT機器のセキュリティ対策では、知的財産権侵害やリライアビリティ(信頼性)、セーフティ(安全性)といった別の安全性も同時に考慮する必要がある。その上、車、医療機器、監視カメラなどのような長期利用のIoT機器に対しては、攻撃手法が日々進歩する中で、長期間に渡る安全性を保障しなくてはならず、難しい設計を迫られる。このような検討においてはセキュリティとモノづくりの高度な知見が必要となるが、高度セキュア人材が少ない中、モノづくりの知見も有する人材は皆無に近く、検討さえ難しい状況になっている。

必要なIoTセキュリティの視点

セキュリティ対策では通常、人材が豊富で実績の高いITセキュリティが活用される。ITセキュリティとは、端的に言えば、企業ブランド(信頼)を守るためのセキュリティ対策である。企業ブランドは、セキュリティ的には、顧客・営業情報漏えいなど、顧客を含む多数のステークホルダーへの背信行為で失墜する。したがって、企業ブランドを守るITセキュリティでは機密性重視のセキュリティ対策を指向し、コストをかけてでも幾重にも対策の網を張る多層防御が主流となる。

しかしこの多層防御という考え方では、IoT機器に求められるコストとセキュリティの両立は難しい。そこで、IPA(独立行政法人情報処理推進機構)などのセキュリティ関連組織は、IoT機器向けのセキュリティ対策ガイドラインを発行している18。このガイドラインは示唆に富む内容で、これに従えば一定の効果が期待されるが、一部にITセキュリティの多層防御をベースにした考えが含有されているため、IoT機器のセキュリティ対策を実装する企業側に高度な工夫が求められる。

繰り返しになるが、IoT機器向けのセキュリティ対策、すなわちIoTセキュリティで求められるのは、コストとセキュリティの両立である。セキュアであっても価格が価値に見合わないほど高ければ、顧客の信用を失いかねない。この点を踏まえてIoTセキュリティを端的に表現すれば、商品の品質(セキュリティ品質)と、それを実現する価格とのバランスを図る、すなわち商品の信用を守るためのセキュリティ対策といえる。セキュリティとコストを両立させる考え方として参考になるのは、モノづくりの知見である。モノづくりの現場では、これまでもリライアビリティやセーフティといった安全性とコストを両立させてきた実績がある。したがって、IoTセキュリティでは、多層防御ではなく、モノづくりの知見を取り入れたコスト重視のセキュリティ対策が有効といえる。

重要なセキュリティ・バイ・デザイン

IoTセキュリティの中でもコスト効果が特に高いのがセキュリティ・バイ・デザインである。これはセキュリティ対策の検討を、開発の最上流のデザイン(設計)段階で実施することを指す専門用語である。この際、設計段階でセキュリティ対策を検討するので、コストを抑制しやすい。その重要性は以前より広く認識されていたものの、IoTセキュリティで使える具体的なセキュリティ・バイ・デザイン手法を解説したものが少なく、IoT機器の設計では十分活用されて来なかった。そこでここではIoTセキュリティにおけるセキュリティ・バイ・デザインを簡単に説明する。

比較として従来のITセキュリティにおけるセキュリティ・バイ・デザイン手法を見ておこう。ITセキュリティは機密性重視なので、守るべき情報資産を特定したら、はじめにその情報資産を十分防御するための対策検討(設計検討)を行う。そして次にこれを実現するセキュリティソフトウエアなどの技術検討(実装検討)を行う。つまりセキュリティ対策をトップダウンで検討する。この手法ではコストは積み上げになるため、IoT機器の設計には適していない。これは例えるなら、美味しさを追及した握りを考え(設計検討)、その材料を揃える(実装検討)高級寿司屋の発想である。

これに対して、IoTセキュリティのセキュリティ・バイ・デザイン手法では、コストを抑えるために、はじめに採用するセキュリティソフトウェアなどの技術検討(実装検討)を行う。モノづくりの世界では一般的な開発購買と同じ「逆算の発想」で、低価格技術の採用をはじめに検討するのでコスト低減を図りやすい。またこの時点で、長期利用や知的財産権侵害、説明責任を果たすための妥当性も併せて検討するので、検討作業で後戻りも生じにくい。

そしてその後に、End to Endセキュリティと呼ばれる手法で、この技術を活用した効果的な対策検討(設計検討①)を行い、次にこれでは対策できない残課題の検討(設計検討②)を行う。つまりセキュリティ対策をボトムアップで検討する。これは例えるなら一皿100円で販売することを前提に材料を集めて(実装検討)美味しい握りを考える(設計検討)回転寿司屋の発想である。

実際のセキュリティ・バイ・デザインでは、「顧客や他企業との責任分界点を見える化し、自社が責任を持つ検討対象を絞り込む(課題を『捨』てる)」という作業と、「リライアビリティ(安定稼働の担保)、セーフティ(安全性の確保)、セキュリティ(サイバー脅威からの防御)の検討対象を分離する(課題を『離』す)」という作業を先に実施し、煩雑な課題を事前に整理した後にこの「実装・設計検討(課題を『断』つ)」を実施する。これは、更なるコスト削減を目指す工夫である。

求められるIoTセキュリティ対策の戦略的活用

ここまではセキュリティ・バイ・デザインを中心に見てきたが、IoTセキュリティでは他にも勘案すべき重要事項がいくつも存在するので、紹介しておきたい。

  • プライバシー情報の取り扱いを設計するプライバシー・バイ・デザイン
  • ペネトレーション(侵入)テストなどのセキュリティテスト
  • SOC(Security Operation Center)などの監視体制
  • リモートメンテナンスなどの保守体制
  • 工場のセキュリティ対策
  • PSIRT(Product Security Incident Response Team)、FSIRT(Factory Security Incident Response Team)などの組織体制づくりや従業員教育

セキュリティ・バイ・デザインに加えて、このようなIoTセキュリティの戦略的活用についても十分に考慮することが必要である。IoT機器を利活用したデジタルトランスフォーメーションにおいては、セキュリティが避けることのできない課題であり、場合によっては会社の存続を脅かす可能性もあり得る。社内外のリソースを活用しながら、こうした対策を実践することが求められる。

 

筆者

北野 晴人 Kitano, Haruhito
デロイト トーマツ リスクサービス株式会社 
サイバーアドバイザリー
パートナー
リレーショナル・データベースのセキュリティ、アイデンティティ管理を中心に情報セキュリティ関連コンサルティングを実施。またビッグデータやIoTとプライバシーとの良好な関係をデザインする「Privacy by Design」コンサルティング業務も多数提供。(ISC)2アジアパシフィック・アドバイザリーカウンシルメンバー。情報セキュリティ大学院大学博士後期課程修了・博士(情報学)。

松尾 正克 Matsuo, Masakatsu
デロイト トーマツ リスクサービス株式会社 
サイバーアドバイザリー
シニアマネジャー
IoTセキュリティ分野において、電話、監視カメラ、決済端末、複合機、住宅、車載、医療、家電など、様々な機器の基礎研究や開発を15年以上に渡って担当。この間、IoTセキュリティの設計コンサル、教育、講演も多数実施。工場などのセキュリティ対策にも関与。サイバーセキュリティの各種委員を歴任。

*所属会社名、肩書は執筆時点の情報です。

 

【参考資料】

1. IoT機器、防御を義務化 サイバー攻撃入り口封じ, 日本経済新聞, 2019/1/31:https://www.nikkei.com/article/DGXMZO4072442031012019MM8000/
2. Security by Designについては、デロイト トーマツでもサービスとして提供している: IoTデータ利活用を目指す製造業に向け製品セキュリティとプライバシーへのリスク対応支援を開始,デロイト トーマツ リスクサービス株式会社, 2019/2/6: https://www2.deloitte.com/jp/ja/pages/about-deloitte/articles/news-releases/nr20190206.html
3. 世界と日本のICT市場の動向 IoTデバイス1の急速な普及, 「平成30年版 情報通信白書」, 総務省: http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd111200.html
4. Economic Impact of Cybercrime , CSIS and MacAfee, 2018/2/21: https://www.csis.org/analysis/economic-impact-cybercrime
5. 重要インフラ等におけるサイバーセキュリティの確保研究開発計画, 内閣府 戦略的イノベーション創造プログラム(SIP): https://www8.cao.go.jp/cstp/gaiyo/sip/keikaku/11_cyber.pdf
6. IoT 社会に対応したサイバー・フィジカル・セキュリティ研究開発計画, 内閣府 SIP: https://www8.cao.go.jp/cstp/gaiyo/sip/keikaku2/3_iot.pdf
7. 重要インフラの情報セキュリティ対策に係る第4次行動計画,NISC: https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdf
8. IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施, 総務省/国立研究開発法人情報通信研究機構, 2019/2/1: https://www.nict.go.jp/press/2019/02/01-1.html
9. サイバー攻撃が、現実空間に大被害をもたらしたと疑われる二つの事例, Newsweek日本版, 2015/8/20: https://www.newsweekjapan.jp/tsuchiya/2015/08/post_2.php
10. DDoS攻撃:テラビット/秒規模に突入, 「TMT Predictions 2017 日本版」, デロイトトーマツ: https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/technology-media-telecommunications/et/jp-tmt-predictions2017-all.pdf
11. NICTER観測レポート2017, NICT, 2017: https://www.nict.go.jp/cyber/report/NICTER_report_2017.pdf
12. サイバーセキュリティ経営ガイドラインVer2.0, IPA, 2017: http://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf
13. トヨタなど相手 米で集団訴訟 リコールや賠償求める, 日本経済新聞, 2015/3/23:https://www.nikkei.com/article/DGKKZO84638570Q5A320C1TCJ000/
14. NIST SP800-171, IPA:https://www.ipa.go.jp/files/000057365.pdf
15. 資料5 サプライチェーンサイバーセキュリティ等に関する海外の動き、経済産業省 産業サイバーセキュリティ研究会, 2018/2/6: http://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/wg_1/pdf/001_05_00.pdf
16. 国際協調のスタートラインと してのサイバーセキュリティ, デロイト トーマツ, 2018/11: https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/manufacturing/ad/jp-ad-cyber-security.pdf
17. 防衛装備庁が来年度から始める新たな調達基準の考え方, 防衛装備庁/Tech & Device TV, 2018/9/14:https://www.techdevicetv.com/pdf/hp_180914security_atla.pdf
18. IoT開発におけるセキュリティ設計の手引きを公開, IPA, 2016/5/12: https://www.ipa.go.jp/security/iot/iotguide.html
 

お役に立ちましたか?