インターネットに接続する機器が急速に増えている。監視カメラやビデオレコーダー、スマートメーターなど、人間が介さずにインターネットとやり取りするIoTデバイスは、今後増加を続けて2020年には全世界で500億を超えるとの予測もあるほど。膨大な数のIoTデバイスが利用されて利便性が高まる世界が到来することは間違いない。

一方で、IoTデバイスのセキュリティ対策は、十分に環境が整っているとは言いがたい。監視カメラなどのIoTデバイスがサイバー攻撃の対象になるという認識自体が浸透していない上に、セキュリティ企業もサーバーやパソコンのセキュリティ対策のソリューション提供が中心でIoTデバイスの対策まで手が行き届いていないのが現状だ。

数の暴力が猛威を振るうIoTデバイスの乗っ取り

IoTデバイス自体は、例えば監視カメラなら映像を撮影して伝送するといったように、複雑な情報処理をするわけではない。そのため、サーバーやパソコンといった高度な情報処理を行う機器に比べて、セキュリティ対策の重要度への認識が低いのもやむを得ない。しかし、IoTデバイスは情報処理能力を備えてネットワークに接続する機器であり、悪意ある第三者がネットワーク経由で操ることが可能だ。大量のIoTデバイスを操ることで、サーバーやパソコンといった高度な情報処理を行う機器にダメージを与えることができるのである。

IoTデバイスの怖さは、数の暴力により情報システムや社会インフラに容易に悪影響を及ぼせることだ。例えば特定の種類の監視カメラが乗っ取られたとき、数百万台の監視カメラが同時にネットワークに対して同じアクションを起こすことが考えられる。特定のサーバーや、特定のネットワークに対して、同じトラフィックを流し続けたらどうなるか。災害時に多くの人々が一斉に同じ地域に電話をかけることで、電話がかかりにくくなることを体験しているだろう。IoTデバイスを乗っ取ってしまえば、災害時の通信障害と同様の影響をサーバーやネットワークに対して意図的に起こすことが可能になるのだ。企業のサーバーが動かなくなるだけでも問題は大きい。しかも、それが人の生命を預かる交通系や医療系のシステムであったり、社会の重要インフラであったりしたら、攻撃によるダメージの大きさは計り知れない。2020年には500億台を超えるIoTデバイスがあり、これらが一斉に攻撃を仕掛けてきたら、社会は大混乱に陥ってしまうだろう。

こうした事態に対して、インターネットに接続する広い意味でのIoTデバイスを製造するメーカーは、早急に手を打つ必要がある。IoTデバイスがハッキングされて乗っ取られるようなソフトウエアのバグがあった場合に、速やかにアップデートしてセキュリティ対策を施す仕組みや、IoTデバイスの状態や振る舞いを管理できるような仕組みが求められるのだ。セキュリティ対策を施さずに出荷した製品が原因で、顧客企業に大きな損害を与えたり、社会混乱を招いてしまったりしたら、メーカーの存亡にもかかわる事態に発展しないとも限らない。IoTデバイスは製品のライフサイクルが長く、10年～20年といったスパンで使い続けられることがある。今すぐに手を打たないと、10年、20年後まで影響を引き伸ばすことになる。

IoTデバイスのライフサイクルを管理できるインフラが必要に

このように拡大するIoTデバイスのセキュリティリスクに対して、IoTデバイスの統合管理基盤を提供することでセキュリティ対策を施すソリューションが登場する。ソフトバンク・テクノロジーとその子会社のサイバートラスト、ミラクル・リナックス、さらに米ラムバス（Rambus Inc.）とが共同で構築を進めるIoTデバイス統合管理基盤がそれだ。

▼ソフトバンク・テクノロジー、サイバートラスト、ミラクル・リナックス、ラムバスの4社が共同で構築するIoTデバイス統合管理基盤の特徴

4社はIoTデバイス統合管理基盤により、IoTデバイスメーカーに向けたIoTデバイスのライフサイクル全体の安全性を確保するソリューションを目指す。新しいIoTデバイス統合管理基盤は、大きくわけて3つの機能を提供する。（1）専用のICチップと電子証明書を組み合わせてIoTデバイスの真正性の確保、（2）IoTデバイスの状況を管理するデバイスマネジメント、（3）オーソライズされたIoTデバイスに対してネットワーク経由でソフトウエアの更新を行うOTA（Over the Air）――である。

これらの機能を提供することで、IoTデバイスメーカーは出荷後も自社製のIoTデバイスの「健康管理」を継続的に行うことが可能だ。IoTデバイスの振る舞いに異常を検知したら、まずそのデバイスを検疫状態にして隔離し、OTAでパッチを当てて復旧させるといった対応が安全にできる。ICチップと電子証明書を組み合わせた真正性の確保により、IoTデバイスを確実に特定できることが安全性の基本にある。さらにIoTデバイスメーカーからの正しい指示だけでソフトウエア更新を行えるため、悪意ある第三者からのマルウエアなどの配布を受け付けない。出荷したIoTデバイスを、常に健康な状態に保てるように、管理し続けることが可能になる。

ソフトバンク・テクノロジー、サイバートラスト、ミラクル・リナックス、ラムバスの4社は、それぞれの得意な技術を組み合わせることで、新しいIoTデバイス統合管理基盤の構築に取り組む。次回は、IoTデバイス統合管理基盤がどのようにして安全性を確保て、デバイスマネジメントやOTAを実現していくのかをひもといていく。

【関連情報】
・ IoT 機器の統合管理基盤の提供に向けて米ラムバスと基本合意書を締結