ノキアのセキュリティーセールスの
責任者であるジェフ・ハンター氏

ネットワーク化とセキュリティー対策は切っても切れない関係にある。スタンドアロンで動いていた時代のパソコンは、フロッピーディスクを抜き挿ししたりしなければおよそ安全を確保できた。しかし常時ネットワークに接続している今のパソコンやスマートフォンは、常に攻撃の脅威にさらされている。IoTがキーワードになればなるほど、ネットワークに接続する機器の量や種類は膨大になる。そのときのセキュリティー対策はどうしたらいいのだろう。

モバイルセキュリティーの専門家に話を聞いた。ノキアでセキュリティーセールスの責任者を務めるジェフ・ハンター（Geoff Hunter）氏だ。ハンター氏は、「2025年までには50億人がネットワークに接続し、さらに500億の“モノ”が同じようにネットワークに接続すると予想されている。デバイス、センサーから家電製品までIPアドレスを持ったあらゆるものがネットワークにつながる。接続するデバイスが多くなればなるほど、犯罪活動も高まり、脅威のレベルはこれまでに見たことのない水準に上ると予想される」と警鐘を鳴らす。

▼2025年には、モバイルネットワークの様相が現在とは一変する。セキュリティー対策も、変化に対応しなければならない

セキュリティーを確保する対象も、IoT時代には幅広く拡張される。ユーザーを守るのはもちろん、IoTも含めたネットワークに接続するデバイスを守ることや、様々なデバイスが接続する通信事業者のネットワークを守ることも考慮に入れなければならない。そうなると、「機能をネットワークやデバイスに付け加える“アドオン”でセキュリティーを確保するだけではなく、体系的にセキュリティーを確保するために機能を“組み込む”必要が出てくる」とハンター氏は語る。セキュリティー対策ソフトやアプライアンスを付け加えるという考え方を転換し、セキュリティー機能をシステム自体に最初から組み込む発想が求められているのである。

正しいコマンドと犯罪者が送ったコマンドをどう区別するか

セキュリティー対策を施さなければならない対象は着々とモバイルデバイスに広がり、脅威はますます高まっている。「Android OSに対しては、マルウエアなどの脅威が年率500％以上で増えている。通信事業者のネットワークにプラグインされているIoTのデバイスの70％は、暗号化されていない形でネットワークに接続されている。マルウエアの95％はAndroid OSを標的にしているというデータもある。これまでのITサービスやサーバーなどへの攻撃から、モバイルへの攻撃へとシナリオは急速に変化している」（ハンター氏）というのだ。

モバイルデバイスは、スマートフォンやタブレットといったいわゆる通信機器に限らない。ハンター氏は、近い将来の例として、自動運転自動車のセキュリティーの必要性についてこう説明する。

「ネットワークに接続した自動運転自動車は、安全に自動運転するための正しいコマンドと、犯罪者が送った悪意のあるコマンドを、的確に区別しなければならない。悪意あるコマンドで自動運転自動車が暴走してはならないからだ。そうしたリスクを抑えるためにも、モバイルネットワークのセキュリティー機能は今後より重要になる」

こうしたリスクは自動運転自動車に限らない。自宅のエアコンにしても、街角の監視カメラにしても、誰もが利用できるネットワークの「インターネット」に接続したら、同じリスクを背負うことになる。正しいコマンドとして実行していいものは何か、実行したら問題が起こるコマンドは何か。常にそれを判断して処理をしなければならない。

さらにハンター氏は、「すでに、世界の変化は起きている。トラフィックマネジメントシステムや、ユーティリティーシステムはすでに犯罪の対象となり、ハッキングされている。新しいサービスが導入されると、ハッキングも増えていく」と現状を説明する。

あらゆるモノがネットワークに接続するIoTの世界でのセキュリティーを考える上で、IoTにおける脅威の現状を確認しておこう。ハンター氏はIoTには5つの脅威があると說明する。

▼IoT時代に想定される5つのセキュリティー上の脅威

利用しているサービスが使えなくなる「サービスの混乱」、SIMやデバイスが論理的に乗っ取られる「システムの妨害と破壊」、乗っ取られた端末からのDoS攻撃などによる「システムの乗っ取り」、機密情報の漏えいなどにつながる「情報へのアクセス」、誤ったセンサー情報を提供するような「システムの不正操作」である。

IoTが本格化し、自動運転自動車や家の中の電化製品などがすべてこうした問題を抱えるようになったらどうだろうか。悪意ある第三者に自在にシステムを操作されてしまったら、IoTのメリットを打ち消してなおデメリットが残ってしまう。セキュリティーリスクが、IoTの発展を妨げる深刻な問題になることがよくわかる。

モバイル事業者にとってはリスクとチャンスが表裏一体

IoTが広がり、セキュリティーリスクが高まることは、モバイルサービスを提供する通信事業者にとって大きな脅威であることは間違いない。サイバー攻撃に対処するためのコストは大きな負担になる。一方で、エンドユーザーの観点から加入者のセキュリティーを守ることができるしくみを提供できれば、通信事業者の差異化にもつながる。セキュリティー対策機能を組み込んだネットワークを構築し、安全なサービスを提供できることが事業者の価値やブランド創出につながる可能性があるわけだ。

ハンター氏は、ネットワークに接続したデバイスを守るためのセキュリティー対策には、大きく2つのアプローチがあると指摘する。1つはセキュリティー対策ソフトなどをデバイスにインストールするクライアントベースのアプローチ、もう1つはネットワーク側で不審な通信をシャットアウトするネットワークベースのアプローチだ。

「ユーザーの端末上のアプリなどでウイルスから守るクライアントベースの方法も効果的だが、最新のマルウエアなど一部の脅威を取り逃してしまうことがある。また、セキュリティー対策ソフトをインストールできないデバイスにはクライアントベースのアプローチは適用できない。ネットワークサービスを提供している通信事業者ならば、ネットワークベースでフィルタリングするアプローチでセキュリティー対策機能を提供できる」（ハンター氏）

IoT時代には、センサーやカメラなど膨大なデバイスがネットワークに接続するようになる。これらにすべて、セキュリティー対策ソフトをインストールして実行できるだけの機能・性能を担保するのは、コスト面からも難しい。数が多いだけにパターンファイル更新のデータ量だってバカにならないことが想像される。しかしIoTデバイスはネットワークに接続して使うものだから、ネットワーク側で悪意ある挙動や通信内容を把握することは可能だ。

ネットワークベースのアプローチで、フィルタリングシステムを採用すれば、通信事業者はデバイスのOSやハードウエアリソースに影響されることなく、セキュリティー対策を打ち出せる。ハンター氏は「ノキアでは通信事業者が導入できるフィルタリングシステムとしてNokia Mobile Guardを提供している。通信のトラフィックパターン、定義、シグネチャーなどを見て総合的に判断し、脅威を遮断することができる」という。

ネットワークベースのアプローチは、OSに依存せずどのような種別のデバイスでもセキュリティー対策を施せること以外にもメリットがある。それは、IoTデバイスやスマートフォンなどの端末といった「加入者側」のセキュリティーを保つだけでなく、ネットワークから見て反対側に位置する「インターネット側」のセキュリティーにも貢献できることだ。不審なトラフィックをシャットアウトする機能は、インターネット側も含めて通信事業者から見た「エンドユーザー」をすべてガードできるセキュリティー対策になり得る。

ハンター氏はこうした現状を踏まえて、モバイルサービスを提供する通信事業者に対して、こう提言する。「IoTの進化のペースを考えると、IoTに直結したセキュリティー対策が喫緊の課題になるまではまだ時間があるだろう。しかし、エンドユーザーの視点で考えれば、すべての加入者が脅威の対象であり脅威のレベルは日々高まっている。事業者は加入者を守るために、IoT時代の到来を待つことなく、ネットワークが提供できるセキュリティー対策について検討すべきだ」。通信事業者は、今すぐにIoT時代のセキュリティー対策の検討を始めても、早過ぎることはないのだ。