あらゆるものがネットワークにつながるIoTの時代。利便性が向上する一方で、サイバー空間の脅威が生活の中に侵入するリスクも高まります。IoTにおけるサイバー・セキュリティの現状と、セキュリティ対策への新たなアプローチについて、数々の業界団体でセキュリティ分野の要職を務めるファーウェイ セキュリティCTO トビアス・ゴンドロム（Tobias Gondrom）に聞きます。

Tobias Gondrom　トビアス・ゴンドロム

ファーウェイ　セキュリティCTO。独立系ソフトウェア・ベンダーやIT、金融、政府系の企業・組織において情報セキュリティとソフトウェア開発分野で20年以上の経験を持ち、多数のグローバル企業のCISO（最高情報セキュリティ責任者）などに対しトレーニングやコンサルティングを行ってきた。標準化団体でも活発に活動し、IETF（Internet Engineering Task Force）では10年以上にわたりwebsec、LTANS（Long-Term Archive and Notary Services）、DOTS（DDoS Open Threat Signaling）などのワーキング・グループ議長やセキュリティ理事会メンバーなど要職を務め、いくつかのRFC（技術仕様）の共著者にもなっている。2015年まで議長を務めたOWASP（Open Web Application Security Project）およびCSA（Cloud Security Alliance）香港・マカオ支部の理事であり、欧州委員会のNIS（Network and Information Security）プラットフォームのメンバーとしてEUのサイバー・セキュリティとリスク管理に対する提言も行う。ミュンヘン大学卒業、ロンドン・ビジネス・スクール　スローン・フェローシップにてMBA取得。

多様化・多層化するサイバー・セキュリティ

企業や個人にとってのサイバー・セキュリティは、かつて各社、各家庭でのアンチウィルスやファイアウォールといった対策で必要十分とされていました。しかし、さまざまなデバイスがネットワークにつながり、クラウド・サービスがあらゆる用途に使われ、それらをつなぐネットワークも仮想化とオープン化が進むにつれ、セキュリティはどこか1か所を守っておけば安全というものではなくなってきました。

とりわけIoT市場には、ICT産業以外の業界からも広範囲にわたって多数のプレーヤーが参画しています。自動車や冷蔵庫、電球や鍵といったこれまでサイバー・セキュリティとは縁のなかった製品のメーカーも、そうしたモノがネットワークにつながるようになったいま、物理的な安全に加えてサイバー空間でのセキュリティをも考慮することを余儀なくされています。

同時に、ICT企業の側もサイバー・セキュリティをより広範に捉える必要があります。攻撃の被害はこれまでのようにサイバー空間の中だけにとどまらず、コネクテッド・カーのハッキングによる交通事故、医療機器の遠隔操作による医療事故など、人命に関わる事態も想定しなければなりません。また、多くのモノはICTのソフトウェアやハードウェアよりもライフサイクルが長く、公共インフラのように数十年に及ぶ場合もあるため、セキュリティにおいてもより長期的な視点が求められます。

加えて、モノとクラウド上のサービスとがネットワークを介してつながることで、セキュリティはセンサーからネットワーク、アプリケーションまで多層的にカバーすべきものとなっています。そこにはチップ・メーカー、ネットワーク機器ベンダー、ソフトウェア・ベンダー、サービス・プロバイダーなど多岐にわたる複数の企業が関わっており、そのすべての製品やサービスがセキュリティ要件を満たしていなければ、安全性を確保することはできません。

多層化するIoTセキュリティ

Miraiが鳴らした警鐘

このように高度に複雑化したIoTセキュリティが差し迫った課題であることを思い知らせたのが、昨年10月に起きたMiraiボットネットによる史上最大規模のDDoS（Distributed Denial of Service：分散型サービス妨害）攻撃です。アマゾンやツイッターを含む100以上のウェブサイトが被害を受け、ピーク時のトラフィックは1秒間に1.2TB（テラバイト）にものぼったこの攻撃は、Miraiがセキュリティの脆弱なIoT機器10万台以上を感染させ、巨大なボットネットを生成して引き起こしたものです。これにより、ユーザーネームとパスワードが製品出荷時の共通設定のままになっている脆弱なIoT機器が無防備に大量にネットワークに接続されていることが露呈し、メーカーやユーザーを震撼させました。

昨年初頭の時点ではDDoS攻撃の規模は大きなものでも毎秒40GBほどでした。それが1年も経たないうちに30倍にも拡大した背景には、IoT機器の爆発的な普及があると言えるでしょう。大量のIoT機器が市場に出まわることは、裏を返せば犯罪者に武器をばらまいているようなものです。

これまで多くのIoT機器メーカーは、自社製品が本来の機能とは直接関係のないネットワーク・インフラへの攻撃に使われるとは想定していませんでした。しかしもはや、機器メーカーは製品ユーザーにとっての安全性を考慮するだけでは不十分です。自社製品が攻撃の対象となるばかりか、より大規模な攻撃の手段にもなりうることを認識しなければなりません。

ユーザー目線のプライバシー保護

IoTがもたらすもうひとつの課題が、ユーザー・プライバシーの保護です。ネットワークにつながったデバイスは、いずれもなんらかの形でユーザーに関する情報を収集します。こうした情報はユーザーにより良いサービスを提供するための貴重な資産となる一方、ユーザーのプライバシーが侵害されるリスクも高まります。必要なのはユーザー行動を知ることであり、個人情報を得ることではありません。技術的に収集可能かどうかではなく、ユーザーの目線から抵抗なく提供できる情報かどうかを基準に据えることが重要です。

プライバシーは社会的背景や文化によって捉え方が異なる難しい問題ですが、欧州ではとりわけ厳しい基準を設けてその保護に取り組んでいます。2018年にはGDPR（General Data Protoction Regulation：EU一般データ保護規則）が施行開始となり、EU全体で共通の個人データ保護体制がより強化されることになります。これに向けて、ファーウェイも欧州でビジネスを行うお客様からどのような策を講じるべきかという相談を受けることが増えています。

ファーウェイは、研究開発機能を統括する『2012ラボ』傘下のセキュリティ・コンピテンス・センターにおいて、将来に向けた最先端のサイバー・セキュリティ技術の研究を行っていますが、同センターが注力している分野のひとつがPET（Privacy Enhancing Technology：プライバシー強化技術）です。高度な暗号化をはじめ、ビッグデータ解析において分析に必要なデータの価値を損なうことなく匿名性を確保する技術の開発を進めています。