「安全なネットワーク」が鍵となるIoT時代の到来で、通信事業者に求められる役割もまた変化していくのではないか。境野氏の話は、今後のあるべきネットワークの姿から、国家安全のために求められる制度設計、そして「ネットワークの平和利用」を考えた時、通信事業者に求められるものは何かという話題へと広がりを見せる。
（前編はこちら）

境野　哲（さかいの・あきら）
NTTコミュニケーションズ株式会社 技術開発部 IoTクラウド戦略ユニット/経営企画部 IoT推進室 兼務。IoT・エバンジェリスト。1990年 日本電信電話株式会社に入社、社内基幹業務システムの開発・更改や官公庁向けコンサルティング、公共施設建設プロジェクトを担当。2000年から異業種協業による新規ビジネスインキュベーションに従事し、ネットビジネスのパートナー営業、協業アライアンス、コンテンツ流通ビジネス開発等を手掛ける。2010年からエネルギー管理・M2M技術開発を担当。2015年5月より現職。

性善説に立ったネットワークから安全を管理するネットワークへ

IoT時代に備え、今まで性善説で運用してきたインターネットはこのままで良いのか、通信事業者として自問しています。既に国内でも、光ファイバーが接続されているルーターが乗っ取られて外部への攻撃の踏み台にされるという事例がありました。

スマートフォンや携帯電話の端末では、ソフトウェアに不具合があった時などに、ユーザーが知らないうちに自動でソフトウェアをバージョンアップする仕組みが既に動いていますが、IoTの世界にはそれは必ずしもありません。ネットワークに接続されたカメラが管理者不明のまま放置されていると、誰かに攻撃の対象として狙われるかもしれない。そうした隙をついて、悪意を持った人が入ってくる可能性もありますし、政府が住民の行動を監視して反政府的な活動を弾圧するなど、国家権力がIoTを武器として悪用することも懸念されます。

セキュリティホールを塞ぐための自動バージョンアップを行い、応答がなければネットワークから隔離するような、そのような安全管理を通信事業者が担うべきなのかもしれません。

では、IP-VPNのような、クローズドなネットワークだから安心かといえばそうともいえません。インターネットから侵入できなくても、中から入る手口があります。USBメモリーなどにマルウェアを仕込んでおき、それがPC等の端末に接続された瞬間にネットワークを通して組織内に蔓延するといったものです。

これからの取組みとしては、そうしたマルウェア感染などの異常を早く発見して隔離し、マルウェアを除去してから接続し直すことを、早く安くやる仕組みが必要です。情報システムの分野では、お客様の通信ログやアプリのログを解析エンジンで分析し、マルウェアに汚染されている可能性があるものをレポートするサービスがありますが、IoTの分野でも同じことが必要になる可能性があります。

そうした分野のサービスに、弊社でも取り組めないかと考えています。ネットワーク越しに組織内ネットワークの状況をモニタリングして、普段と異なる振る舞いを検知するためには、人間の力だけでは限界があるので、出来る限り自動化を進める必要があります。弊社では人工知能やディープラーニングなどの研究にも取り組んでおり、カメラ映像、センサーデータ、音声データなどさまざまな分野で応用しています。

ネットワークで何が起きているのかを認識することの重要性

これは個人的な考えですが、通信事業者は、IoTが普及するにつれて発生する、安全上のリスクを低減するための対策に注力すべきではないかと考えています。究極には、国同士が争う、戦争やテロが発生した時に、通信インフラをどう防御するのかという視点が必要になるでしょう。今、日本は平和なのであまりピンとこないかもしれませんが、もし戦争になれば必ず通信インフラは狙われます。

ネットワークコストが非常に安くなって、ただ同然になれば、接続されるモノが限りなく増えていくことになります。無料の無線LANが街中に普及していけば、誰かが街の中にカメラを勝手に置いてネットワークに接続することもできます。安全のためには、「そのカメラを誰が置いたのか」「どこに何を送っているのか」といったことを、ネットワークが自動で認識する必要があると思いますが、今はその仕組がありません。ネットワークに流れるパケットを見ることは、通信事業者なら技術的には可能ですが、今は「通信の秘密」で守られているので勝手には利用できないのです。

電話の時代は、警察の令状を根拠に通話を傍受させたり、逆探知で犯人の居場所を追跡することがありました。IoTの時代には、似たような仕組みがインターネットの世界に求められるかもしれません。誰が悪いことをしているのか、原因がどこにあるのかを追跡することができないままでは怖いですよね。状況の原因を解析して発生源を突き止める仕組みを作る必要があります。

だからといって仕組みだけ作っても、その仕組みがまた悪用されてしまっては大変なことになります。IoTネットワーク上の犯罪対策を誰が実施するのかということまで含めて、法律、制度、業界ルール、ユーザーの取り締まり規制などを作らなくてはいけないのではないでしょうか。今はまだ問題が表面化していませんが、このままの状態でIoTが普及すれば、規制を求める声がでてきます。今のうちからどのような方法があるかを机上で検討し、テストベッドで検証する必要があります。そうした安全の備えをしておくことで、IoTが普及しても安心して使えるのではないでしょうか。

プライバシーに関する社会的合意形成が早急に必要

もう一つの観点としては、「プライバシー」に関する考え方があります。監視カメラの例がわかりやすいでしょう。使い方について社会的な合意や規制がないまま誰もが好き勝手にカメラを設置できてしまえば、街を歩いているだけで自分の行動が記録されるような行き過ぎた管理社会に陥る可能性があります。今は、カメラを設置する側の倫理に任されている、とても危うい状況です。学校の教室に監視カメラを置くのは子供に対する人権侵害ではないのか、自分の店の前にカメラとマイクを置くことは防犯なのか盗聴なのか、防犯目的と言い張って自宅の前を24時間カメラで撮影し続けることは通行人にとってプライバシーの侵害だなど、トラブルや訴訟がそのうち起こるのではないでしょうか。

一方で、例えばイギリスでは、街中のどこにでも監視カメラが設置されていますが、プライバシーの問題がトラブルになることは少ないようです。「監視カメラは迷子を探したり、誘拐や性犯罪の捜査や、そもそもの犯罪の抑止に効果がある」「いざというときには子供の顔や家族の顔を開示してカメラの映像を使って探して欲しい」という考え方が住民の間に根付いているからです。プライバシーと治安を天秤にかけて、プライバシーを多少犠牲にしてでも治安をとるという社会的合意が既にあるのです。

昭和40年代から50年代頃、「日本人はプライバシーという概念を持っていない民族」だと言われていた記憶がありますが、今は逆に振れて、世界でももっともプライバシー問題に感受性が高くなっているかもしれません。個人情報保護法に関して、マスメディアが名簿屋の名簿売買について大きく取り上げ、「そのうち大変な事件が起こるのではないか」と煽ったことも一因かもしれません。

ともあれ、プライバシーとIoTの問題は、早急に有識者で議論したほうが良いのではないかと私は考えています。例えば、中学校の教室に監視カメラを置くことは良いことなのかどうか、判断する基準が現在はありません。それを誰が見ることができるのかによって判断が変わるでしょう。インターネットで誰でも見られるのと閉じたネットワークで保護者や教員など限られた人だけが見られるのとでは判断も変わってきます。カメラが置かれている場所によっても判断は違うはずです。お店や駅や街中にカメラが設置されている現状を許容する人が、教室の監視カメラはなぜダメだと思うのか、突き詰めて理由を考え、ルールを明文化しなくては、いずれたくさんの訴訟が起こることになるでしょう。

「どこまでをデジタル化するのか」ルール作りを

IoT時代のもう１つの新たな課題が、ネットワーク上を流れるデータの内容に関する安全性の確保です。ネットワークに接続されたカメラから、24時間リアルタイムで映像が流れっぱなしになるような状況では、もしそこで違法性のあるデータが流れたとして、それを止められるのはリアルタイムにネットワークを監視して制御できる通信事業者しかいないかもしれません。

また、流れているものが何の情報なのかということ以外にも、それが誰に見えているのかということも重要です。ペットや子供の状況を確認するために自宅のリビングに置いたカメラの映像が、居住者のスマートフォンから見えているだけなら問題ないですが、不特定多数からアクセスできるような状況になっていた場合は警告する必要があるでしょう。どこまでを許してどこからは警告するのかを、どのように判断するかが課題です。

「全てデジタルに任せないほうが良い」という考え方もあります。例えば、エレベーターは高速な上下動を検知すると物理的なストッパーが動作する機構になっているので、もし制御システムがハッキングされたとしても、エレベーターが落下して人が死亡するような大事故には至らないようになっているのだそうです。デジタルとソフトウェアの世界で完全に防ぎきれないことはアナログな手段で守るという考え方を再評価しても良いのかもしれません。人間というのは物理的にはアナログなものですから、安全のための最後のストッパーとして、アナログな手段で守れる領域があるはずです。

安全対策のコストを考えると、デジタル化することで社会的コストが必ずしも下がるわけではなく、バランスを取ることが重要です。一般の生活者がそれを判断するのは難しいので、法律や制度、ガイドラインを作ると良いのではないかと思います。

ネットワーク・セキュリティは人を守ることに直結する

当面はIoTの活用分野は産業用、製造業、車両などのビジネスユースが中心になると思いますが、個人的に関心がある利用分野は「人類の平和に貢献する」ような分野です。例えば、地球温暖化による気候変動や、貧困問題、難民問題など、世界に目を向けると、生活に困っている人がたくさんいます。IoTという分野だけにとどまらず、ネットワークという社会インフラをそういう人たちにも提供することで、グローバルに社会貢献していきたいと思います。

それはビジネスとしては決して収益が高く上がるものではないかもしれませんが、通信事業者として、グローバルなICTインフラを活用し、健康、医療、貧困対策、教育、気候変動対策といった平和目的の用途も開拓していきたいと思います。

中東の「アラブの春」の例に見られるように、スマートフォンを皆が持つことで政治行動も変わります。今までネットワークにつながっていなかった世界の人たちが80億人、90億人とみんなつながることで、世の中の統治の仕方が変わるかもしれません。もし、その力が悪意を持つテロ組織などの手に渡ったら大変なことになります。通信のセキュリティ対策は、人の命を守ることに直結するのです。

物理的兵器による戦争では、相手を攻撃するためにたくさんのお金や物資が必要でした。しかしサイバー攻撃による戦争は、知識があれば比較的少ない資金で実行できてしまいます。たった一人のネットワークを熟知した技術者によって、ある日突然、世界のネットワークが汚染されてしまうような事態が起こりえるのです。最近はテロ集団の中にIT技術者が採用されているという話も聞きます。通信事業者には、通信の仕組みを良く知る技術者がそうした危険な組織に加わらないように管理するという責務も生じてくるかもしれません。

このように、IoT時代には、我々通信事業者の役割と責任もまた、大きく変わってくるのだと思います。