original image: © Africa Studio - Fotolia.com
他人事でないIoTのセキュリティ問題、そして追悼
IoT security is your business. And in memory of ...
2016.05.25
Updated by yomoyomo on May 25, 2016, 11:20 am JST
original image: © Africa Studio - Fotolia.com
IoT security is your business. And in memory of ...
2016.05.25
Updated by yomoyomo on May 25, 2016, 11:20 am JST
旧聞に属しますが、奈良先端科学技術大学院大学教授にして、内閣官房情報セキュリティ対策推進室(現在は、内閣官房情報セキュリティセンター)の初代情報セキュリティ補佐官など要職を務められた山口英氏の逝去が伝えられました。その訃報に接し、昔のことを少し思い出してしまいました。
ワタシがウェブに文章を書き出したのは1999年ですが、オフで実際に人と会い社交の場に出るようになったのは、最初の訳書を出した翌年になる2003年からです(逆に言うとそれまでは、ほとんど誰ともオフで会ってなかったわけで、思えば最初の訳書自体、結局一度も編集者と対面することなく作業を完遂しましたっけ)。
人前に出るようになったワタシは、最初セキュリティ関係の勉強会やイベントにいくつも参加したのですが、その過程で何人もの異才たちを目の当たりにし、刺激を受けたことがその後のワタシの仕事に間接的に大きな影響を与えています。
余談になりますが当時の思い出話をひとつしておくと、あるセキュリティ関係の勉強会でのこと、会がはじまって大分経ってから一人の男性が部屋に入ってきました。それはよいのですが、その男性の風采がこれ以上ないほどヨレヨレで、なんなんだこの人は? とワタシは密かに引いてしまいました。が、ふと周りを見回すと、その場にいた人たち皆のその男性を見る目がとても温かく、かつ尊敬の念に満ちていたのです。
そのヨレヨレの男性はたかはしもとのぶさんだったわけですが(当時風邪をひいていたらしい)、その人が技術の話になるとヨレヨレな口調のまま核心をつくのを目の当たりにし、新参者のワタシも他の人たちのたかはしもとのぶさんに対する敬意に満ちた視線の意味に遅まきながら気づいたわけです。
セキュリティ方面で遭遇した優れた人は他にもいますが、その人たちはその後出世したり、起業したり、逮捕されたり、鬼籍に入ったり様々ですが、その中でも山口英氏の印象は、そのパワフルな存在感、発言の天衣無縫さにおいて群を抜いていました。
ワタシ自身は WIDE 関係者ではなく、山口氏にお目にかかったのは2003年に二日だけなのですが、この年、氏は JPCERT/CC の代表理事に就任し、翌年には内閣官房情報セキュリティ対策推進室の情報セキュリティ補佐官を任じられています。おそらくはもっとも精気に満ちて仕事をされていた時期だったのかもしれません。
とあるハッカーイベントにおいて、山口氏の隣に座り、氏にいろいろ話を伺えたのは、今思うと夢のような出来事でした。これを書いていて、今の自分が年齢では当時の山口氏をとっくに超えているのに気づくのです――
* * * * *
少し前にオライリーのサイトで「IoT のセキュリティは他人事ではない(IoT security is your business)」という文章を読みました。電子フロンティア財団の人が「モノのインターネットは、セキュリティの面では悪夢だ」と指摘するように、今や AI(人工知能)や VR(バーチャル・リアリティ)あたりとならんでバズワードとしての最盛期を迎え、世界で8兆ドル(!)もの経済効果があるという景気のいいアドバルーンもあがる IoT ですが、そのセキュリティ面の不安は現実的なものになっています。
セキュリティ分野の大家であるブルース・シュナイアーも指摘するように、情報セキュリティというと機密性(confidentiality)、完全性(integrity)、可用性(availability)の三つの維持を指してきたわけですが、従来もっとも恐れられたのはデータの窃盗でした。
もちろんアシュレイ・マディソンの会員情報流出やソニー・ピクチャーズの社内メール流出を見ても、現在もデータ窃盗は大きな問題ですが、IoT 時代は完全性(情報が改ざんなど変更削除されないこと)と可用性(認められたものが適切に情報にアクセスできること)がより重要で破壊的な意味を持つようになったとシュナイアー先生は指摘します。
ネット接続した自動運転車にしろ、医療デバイスにしろ、サーモスタットにしろ、そのハッキングによる悪意の操作が利用者の生命に直結するわけですから。
そうした懸念に対して、情報処理推進機構(IPA)は「IoT開発におけるセキュリティ設計の手引き」を公開しており、とてもよい動きだと思いますが、もう少し実感として現在の IoT 製品にどんなセキュリティ問題があるのか、どんな悪用が可能なのか恐怖を誇大に煽るのでなく実感できるとよいということで、今回はオライリーから2015年夏に刊行された『Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts』を紹介したいと思います。
『Abusing the Internet of Things』は、スマート IoT 照明を謳う Philips Hue 照明システムのセキュリティ問題を、弱い認証機構を悪用するマルウェアで無効化するなど具体的に説明しながら、IoT デバイスと Facebook などのサイトとの相互接続の難しさからプラットフォーム乱立の問題にも踏み込んでいます。
本書はその後も電子錠装置、ベビーモニター、Samsung のスマートテレビ、コネクティッドカーといった IoT 製品のセキュリティ脆弱性を、攻撃者がどのように悪用するかの勘所を踏まえて解説していきます(車載ソフトウェアシステムへのハッキングについては、今年にはいり『The Car Hacker's Handbook』という本も出ています)。
本書が優れているのは、現在の IoT 製品のセキュリティ問題を並べ立てて、ほら、こんなにダメダメと危険を強調して終わりではなく、電子回路組み立てキット littleBits と、それを WiFi 接続可能にする CloudBit モジュールとの組み合わせによるドアベルが鳴ると SMS を送信する機能のプロトタイプを例にして、セキュアな IoT 製品を設計する、あるいは設計段階からセキュリティを組み込むにはどうしたらよいのか読者に提示しているところです。
その上で最後の2章は、未来の IoT 攻撃、そしてそれが我々の生活にどんな影響を及ぼすか予見して終わります。その未来のシナリオは、それに関わる人々の意思や行動で変わりうるというのが著者の Nitesh Dhanjani の見立てです。
* * * * *
昨年、山口英氏のインタビューを2つ読んだのですが、個人的にはそこに掲載された氏の写真が、ワタシが知る氏の姿と随分違っていて、闘病が影響していたのは今になってみれば分かるのですが、当時はかなり面食らったのを覚えています。
しかし、確信的で強硬な語り口はまったく変わりがなく、やはり氏らしいと勝手に思ったものです。
ITpro に掲載されたインタビューで山口氏は、セキュリティ技術者が不足していることを強調しています。これは日本だけの話ではなく、例えばイギリスの最大手通信業者 BT は、今後1年間のうちに900人のセキュリティ担当者を採用する計画を発表して衝撃を与えました。
日本政府も3月に、2020年の東京オリンピックに向けてサイバーセキュリティの専門家を千人確保する方針を発表していますが、スピード感にしても規模にしてもかなり差があります。しかし、これに関しては、日本政府だけが特にしょぼいわけではないようです。
Mugendai(無限大)のインタビューにおいて山口氏は、情報セキュリティをめぐる「自助・共助・公助」という考え方を示していますが、この点に関して「公助」、つまりお上がやってくれると期待するのも限界があるわけです。
このインタビューの最後で山口氏は「共助や自助という力が企業や個人についていかないと社会全体は良くならない」と説いていますが、IoT 時代のセキュリティについても山口氏の知見をもっと聞きたいところでした。しかし、それはもう適わないわけで、それこそ生きる我々で何とかしていなかなくてはなりませんし、それこそが氏の意志を継ぐことになるのでしょう。
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちら雑文書き/翻訳者。1973年生まれ。著書に『情報共有の未来』(達人出版会)、訳書に『デジタル音楽の行方』(翔泳社)、『Wiki Way』(ソフトバンク クリエイティブ)、『ウェブログ・ハンドブック』(毎日コミュニケーションズ)がある。ネットを中心にコラムから翻訳まで横断的に執筆活動を続ける。