セキュリティ対策は、どれだけ準備しても完全にはならない。攻撃側も絶えず新たな攻撃手法を考えており、完全と思われた対策法であっても、その陳腐化は早い。IoTセキュリティをどう考えるか、どこまで対策をすべきか、どこまでコストをかければいいか。一般社団法人セキュアIoTプラットフォーム協議会監事・東京電機大学総合研究所特命教授サイバーセキュリティ研究所所長　佐々木良一氏にIoTセキュリティについて聞く後半。

IoTのセキュリティはどこまで対策すべきか

IoTのセキュリティは、リスク評価を十分にした上で対応することが大事ではあるが、それに対してどのくらいのセキュリティ対策を行なうことが適切であるか、一番コストパフォーマンスが良く、使い勝手を犠牲にしない対策の組み合わせはどういうものか、ということを評価することが非常に重要だ。

制御系を含むシステムのリスクは非常に大きい。一般にリスクは、インシデントが起こったときの影響の大きさと発生確率の「積」で考えるが、そのリスクの大きさは実際には推定が困難である。特に、制御系が絡むとセキュリティ対策自体が悪い方向にフィードフォワードして効いてくる場合もあるので、その点を含めてリスク評価をするのが非常に重要である。

サイバーセキュリティ対策だけでなく、IoTのセキュリティ対策も状況によって大きく変わる。既に稼動しているシステムを改善しようとするアプローチは非常に効率が悪いし、システムを置き換える場合はコストがかかるケースが多い。そういう場合は、例えば、サブネットワークのフォグコンピューティング（Fog Computing）のようなやり方で適切なフィルタリングを施すことで安全を保つのも重要になってくる。比較的小さなIoTシステムで対策をする場合には、IoTチップの中に認証機能などをしっかりと含んだシステムをベースにして、暗号化などに対応するのがおそらく有効な手段であろう。一方、大規模なシステムでは、センター側の対応が肝になってくる。

結局、一つの対策だけで「これでいい」にはなかなかならない。対象によっていろいろな対策の組み合わせを考えてなければならない。セキュリティ対策と運用性とコストを考えた場合に、どういう対策を組み合わせるべきなのかをしっかりと考えるのが重要であって、それこそが我々が追求しているテーマでもある。

細かい話は省くが、いわゆるITのセキュリティはコンピュータのソフトの部分であって、主にconfidentiality（機密性）が重要だったが、この部分がもっと広がる、あるいはIoTが含まれる部分の機密の喪失も考えなければならない。様々な部分においての影響を考慮し、その対策をしっかりと考えていく必要がある。トータルのリスクを一番小さくする対策の“組み合わせ”をどのようにするかを考えなければならない。

IoTのセキュリティのコスト

我々は、IoTセキュリティのコストパフォーマンスを検討してみた。標的型攻撃に対して効果的な対策をイベントツリー分析とディフェンスツリー分析を併用した EDC（Event Tree and Defense Tree Combined Method：東京電機大学サイバーセキュリティ研究所での研究の一環）手法を用いることで分析した。この手法によって、標的型攻撃に対して最も効果的な対策は何かを判断する。どのようなセキュリティ対策の組み合わせが一番望ましいのか。そのときの対策コストと残存リスクはどのくらいなのかを算出する。

最適な対策コストの算出例が図1である。グラフの縦軸は残存リスクと対策コストの合計値で、横軸の制約条件は対策コストの金額である。棒グラフのオレンジは対策コストで、青が残存リスクである。

▼図1：制約条件別最適解

システム等の規模によって数字は変わってくるが、棒グラフは多くの場合は図1の形になる。対策コストと残存リスクの合計が一番小さくなるところが見えてくるのだ。そこまでは対策としてコストをかけるべきで、それ以上の投資はやってもあまり意味がない、ということがわかる。

このグラフの例で解説をすると、2000万円程度の対策コストが残存リスクと対策コストの和が最も小さくなる。一番右の約1000万円の対策コストでは、リスクは10626万円残存する。1500万円、2000万円と対策コストの投資を増やすとそれに応じてリスクは減少するが、2000万円以上の投資からリスクの減少が限定的になってくる。そして、約2000万円（1993万円）の対策コストのところが、リスクと対策コストの和が一番小さくなり、この金額がセキュリティ対策として投資するべき金額であることがわかる。

実際に何をどのくらいやるかは、図2のように1から13の項目を作成して導き出す。

▼図2：対策案一覧

注）この分析手法の詳細は下記参照
「イベントツリーとディフェスを併用したリスク分析における共通事象を考慮した計算法の提案」相原遼氏　佐々木良一氏

金額は違うものの、実際にこの手法を使って、東京電機大学でもセキュリティ対策を行っている。セキュリティ対策をどこまでやるかを決めて、それを実行している。実際の成果が見えていることもあり、ある程度、自信を持って提案できると考えている。

IoTのセキュリティに取組むにあたって

セキュリティについては34年前から取り組んでいるが、十数年前からはデジタル・フォレンジック（Digital Forensic）にも取組んでいる。これは、“デジタル鑑識”と表現されることもあるが、情報処理の知識を利用して裁判とか捜査に役立てるものである。例えば一番簡単な例で言うと、デジタル・フォレンジックの技術を使うと消去したはずのデータも直後であれば復元できる。また、ITリスク学、リスク評価、リスクコミュニケーションなどの分野にも十数年取り組んでいるが、これもようやく必要性が理解され始めてきた段階だ。今後、この分野も重要になっていくだろう。IoTセキュリティの脇を固める必須項目だ。

また、組織自体がリスク要因である事に自覚的でなければならない。セキュリティ対策は、リスクを減らす対策を講じること、保険を活用する、といった手段を考えるだけでなく、リスクに関与しない仕事しかしないようにする、というのも一つの見識だろう。例えば、個人情報を所有することはリスクへの関与度が高くなる。従って、個人情報は持たない、使わない、という考え方である。

クラウドを活用するのも、有効な手段の一つと考えられる。一時期、クラウドはいろいろな問題がある、あるいは海外のクラウドはダメだなどと言われていたが、サービス提供側のセキュリティ対策も高度化しており、規模のメリットもある。個人や企業が個別にやるよりは、ずっと高品質になってきている。そういう意味では、中小企業でもクラウド利用を積極的に考えるべきで、少しお金をかけるだけでセキュリティ・レベルも格段に上がる。さらに、万が一の時にクラウド側の責任を問うこともできる。

ゼロリスクにはならない

IoTセキュリティについては、少なくとも社会全体としてリスクがあることをベースにした判断がしっかりとできる方向に向かうことが大事だ。どうやってもゼロリスクはならないのだ。それにもかかわらず、日本では一般の人たちまでもが「ゼロリスクでなければならない」と声を上げがちだ。それを受けてマスメディアも「ゼロリスクでなければならない」との論調になるのだが、実際はそうはならない。

IoTを含んだシステムになってくると、なおさらその影響が大きくなっていくのだが、インシデントが発生したときに、それがどのくらい罪の深いものだったのかについてよく議論する必要がある。「十分な対策はされていた。しかし、それでもインシデントが発生してしまった」ことは仕方がないと考えるべきなのだ。

事故はこれからもある程度発生する。それを前提にして、インシデントが起こったときの対策を考慮しておきたい。インシデント発生時にリスクの大きさ、確率をある程度の精度で予測、準備することが大切だ。

インシデントが発生すると、それ自体が基準になって次の新しい基準ができていくと考えるようにしたい。過去の例でいえば、ベネッセの事例はそれほど対策がダメだったわけではない。一方、年金機構については、技術的な対策そのものよりも、組織的な問題を抱えているようにも見える。つまり、罪の深さや色合いが、かなり異なるものである可能性が高い。いずれにしても、そのあたりを理解して冷静に議論しなければならない。

インシデントは忘れられてしまうことが多いのだが、上述の二つの事象後は、あるスレッシュホールド（閾値）以下のものには関心が向かなくなってきているようだ。当事者は本意ではなかったであろうが、セキュリティ意識の向上にはプラスになった。2020年までにIoTのセキュリティを十分なものにするのは難しいとは思うが、これから様々な施策を社会全体が協力し合って推進していくしかないと考えている。