IoT化が進展することで、生活から産業まで社会の利便性が向上する一方で、セキュリティのリスクも高まる。IoTがもたらす利便性と脅威について、セキュアIoTプラットフォーム協議会が開催した「IoTセキュリティセミナー」では、多様な立場のセキュリティの専門家によるパネルディスカッションが行われた。「IoTセキュリティの未来」と題して、何が脅威になるのか、どのように脅威に向き合えばいいのか、白熱した議論が交わされた。

モデレーターは同セミナーで直前に行われた特別講演「未来予測 2018-2030」で今後の生活からビジネスまでの変革を予測したアクアビット 代表取締役の田中 栄氏。「IoTにおって数千億、数兆といった多種多様なセンサーがネットワークにつながってくる。便利な社会がくることは異論のないところだろうが、同時に脅威も増す。そのときにどうなるかは、教科書にも書いていない。そこでサイバーセキュリティの最前線の立場から皆さんにお話を伺いたい」と切り出した。

▼モデレーターを努めたアクアビット 代表取締役の田中 栄氏（左端）と5人のパネリスト

パネラーは5人。「組み込みソフトウエア」の立場からユビキタス代表取締役社長 佐野 勝大氏、「クラウド」の立場からアイネット取締役副社長 田口 勉氏、「認証局」の立場からセコムトラストシステムズ常務取締役 藤川 春久氏、「セキュリティ」の立場からラック取締役 常務執行役員 三木 俊明氏、「学術研究」の立場から中央大学研究開発機構・機構教授、東北大学名誉教授 白鳥 則郎氏が登壇した。

IoT機器は情報ダダ漏れ？

まず、田中氏から「IoT化の進展で、ネットワークカメラが広がってきり、身近なところでは音声認識を使うサービスも急速に増えてきた。便利な半面、プライバシーは大丈夫だろうか」と疑問が投げかけられた。

ユビキタスの佐野氏は、「マルウエアのバラマキや不正アクセスは急増しており、その中でもIoT機器を狙ったものが過半数を占める。国民が皆、IoT機器のセキュリティリスクを理解して対処していかなければならない世の中になった」と警鐘を鳴らす。その上で、組み込みシステムやコネクテッドカーに向けたソフトウエアを提供する立場から「これまでのサイバー攻撃はインターネットの標準プロトコルIPを利用したものがほとんどで、予測しやすかったし対策も機器によらず同様の手法で済んだ。ところが最近では自動車の制御ネットワークのCAN、ビルのバックネット、産業用の特殊なプロトコルなど様々な機器に攻撃を仕掛けるようになった。それぞれ防ぎ方が違うため、防御が難しい。フィンランドでは、普通の住宅にDDoS攻撃があり、氷点下の真冬に暖房が効かなくなることもあった。実生活に被害がでるようになってきている」と状況の変化を語る。

▼ユビキタス代表取締役社長の佐野 勝大氏

ラックの三木氏は、AIスピーカーなどのクラウドに依存する音声認識プラットフォームのプライバシーの状況を説明した。詳細は明らかになっていないので知り得た情報からとしながらも、「クラウドに音声データを送って認識するようなGoogle HomeもAmazon ECHOのAlexaも、利用規約に準じて使う以外に方法がない。情報はダダ漏れと考えたほうがいいだろう。プライベートならば自己責任と言えても、企業が使うとなるとリスクが高いのではないか」と語る。その上で、収集した音声のデータも、「リコメンドに使うぐらいまでは許容範囲だとして、その先にどのような使い方をされるかわからないリスクをはらんでいる」と指摘する。

モデレーターの田中氏は、「センサーやカメラなどから様々なデータが収集されてネットワークを流れるようになっている。こうしたIoTの進展は、セキュリティ面でどのような影響があるのだろうか？」とここで質問の流れを変えた。

応じたのはアイネットの田口氏。「コンピューティングは集中化と分散化の間を行ったり来たりしている。メインフレームで集中していた時代からクライアント-サーバーで分散化、またクラウドで集中に揺り戻し、IoTの広がりでエッジコンピューティングのような分散化が進むだろう。アイネットではドローンの事業を展開しているが、20分も飛ばすと15GBから20GBといったデータが生まれる。1日飛ばしたら大変なデータ量になりこれをクラウドにどう上げていくのか。IoTの大量なデータを本当にクラウドにリアルタイムでアップロードできるのか。エッジからクラウドの間にあるセキュリティリスクをどう回避するのか。1つの解として、分散コンピューティングの『エッジ』や『フォグ』でデータを分散処理することが挙げられる。データはできるだけ移動させずに分析し、結果をクラウドにアップロードする分散型のクラウドが必要だと考えている」。

▼アイネット取締役副社長の田口 勉氏

次いで田中氏は、分散コンピューティングから話を広げ、ブロックチェーンがIoTのセキュリティにどのように貢献するかに話題を振った。中央大学の白鳥氏がそれに答えた。

「ブロックチェーンの優れた点を2つ挙げる。1つは文書の改ざんが難しくなること。もう1つは、災害時の情報紛失・消滅を防げること。情報を集中管理するのではなく、分散管理するブロックチェーンだからごまかせないし、なくなりにくい」と評価する。一方で、ブロックチェーンだからといって未来永劫に安全性が担保されるというものではないことも指摘する。「セキュリティに絶対という言葉はない。ブロックチェーンも量子コンピューターが完成して現在の1億倍の処理能力を持ったら、破られる可能性はある。しかし、今は破れないし、5年、10年の間に暗号化技術も進歩していく。絶えずイタチごっこだということを認識しておいてほしい」。

ブロックチェーン技術を使った仮想通貨が流出する事件があったことを受けて、田中氏は金融系の認証の対策についてセコムトラストシステムズの藤川氏に尋ねた。「暗号化されている仮想通貨が500億円も流出した。しかしログを見ると暗号が破られているわけではない。ブロックチェーンではPKI（公開鍵暗号基盤）の仕組みを使って公開鍵と秘密鍵をセットで使い、秘密鍵でコインの移動をする。秘密鍵は堅く守られなければならないが、運用がずさんで流出につながった。暗号が破られたのではなく、人間の運用が問題だ。セコムグループでは5000万個を超えたセンサーを管理している。機器の認証にはPKIを使っており、認証と鍵の管理を最重要に運用している」と技術だけでなく運用に課題があることを指摘する。

IoTにどんなリスクがあるかを「未来予測」

IoTは新しい分野であり、どのようなセキュリティリスクがあるか、それ自体がまだ不透明だ。田中氏は、パネリストが感じているIoTセキュリティのリスクを尋ねていった。

アイネットの田口氏は、「ドローンは、現在はリアルタイムで通信ができないため乗っ取りは起きていないが、将来的にハッキングも起こり得る。1台1台を認証して、実証実験をしながら進めている段階」とドローンに迫る危機を説明する。

ラックの三木氏はコネクテッドカーについてこう語る。「セキュリティや災害対策には、自助、公助、共助の3段階の考え方がある。コネクテッドカーで考えたとき、自助は車に搭載したセンサーやデバイスで自立制御すること。公助は、クラウドに接続してパブリックに制御すること。しかし目の前の事故に対してクラウドからの返事は待っていられない。そこで共助の考え方が出てくる。車と車が直接通信するV2V通信で、前の車のカメラが事故を認識したら、すぐに後ろの車に情報を伝達することで、少ないタイムラグで対応できるようにする」と、自助、公助、共助の組み合わせで安全を確保する考え方を紹介した。

▼ラック取締役 常務執行役員の三木 俊明氏

次いでユビキタスの佐野氏には、エネルギーや住宅に関連するリスクを尋ねた。「日本のスマートメーターのマイコンはあまり高性能ではないため、証明書ベースの認証をしているといってもハッキングされる可能性はある。電力も価値の1つであり、自分が使った電力を隣の家の請求に乗せるようなことができれば、サイバー被害が物理的な被害に広がってしまう。便利の裏にはリスクがある。スマートメーターや家電なども、マイコンにセキュリティチップを載せて改ざんされない状態で認証用の鍵を持つような仕組みが必要だろう。将来的には、何かの動作や価値の移動をするときには常に認証しながら実行することが求められる」

BCP（事業継続計画）の観点でもサイバーセキュリティの重要性は高まる。セコムトラストシステムズの藤川氏は、「災害のときには、自社だけが復旧しても、サプライチェーンが途切れていると何もできない。サプライチェーンの状況がわかる安否確認システムを、災害対策本部に簡単に作れるようなサービスも提供している」という。アイネットの田口氏も、「クラウドがつぶれるとすべての制御ができなくなってしまう。エッジでコンピューティングをして、エッジ同士がコミュニケーションし最適化するインフラが、災害時には求められるだろう」と指摘する。

さらに中央大学の白鳥氏は、「私たちは柔らかいネットワーク、Never Die Network（切れないネットワーク）を30年ほど前に提唱し、研究し続けてきた。高度なAI機能を搭載した自律分散型のネットワークで、回線が切れた場合には代替ルートを自分で見つけてサービスを継続する。こうしたネットワークがBCPや災害対策には必要なことが、IoT時代になって明らかになってきた」と語る。

▼中央大学研究開発機構・機構教授、東北大学名誉教授の白鳥 則郎氏

社会全体で安全な社会を作る意識改革を

最後に田中氏は、IoTの価値を引き出すクラウドのもたらす利便性と、安心・安全の両立についてパネリストに尋ねた。

ユビキタスの佐野氏は、「リスクをコストに入れていくことが必要。IoTでは4割以上がコンシューマーデバイスになり、企業がいくら頑張っても一般社会で理解がないとセキュリティは穴だらけになってしまう。火の用心で拍子木を鳴らして回るように、社会全体がサイバーセキュリティの意識を高める必要がある」という。

アイネットの田口氏は、利便性についてこう語る。「デジタル技術やIoTそのものがイノベーションを起こすわけではない。イノベーションを起こすのはデータであり、データの正しさを守ることがIoTにおいて最も重要なこと。セキュアIoT協議会の活動を通じてデータの正しさを守っていきたい」

セコムトラストシステムズの藤川氏は「IoTのセキュリティは、利用者のリテラシーでリスク回避をすることが難しい。リテラシーに頼らず、安全を担保できるクラウドサービスを提供していくことが求められる」と指摘する。

▼セコムトラストシステムズ常務取締役の藤川 春久氏

ラックの三木氏は、「利用目的に合致した形で、どこにデータを持ちどこに機能をもたせるかといったトポロジーやアーキテクチャの構築を進める必要がある。そのためにはエコシステムを上手に作っていくことが求められる」と語る。

最後に中央大学の白鳥氏がコンピューター研究に長年かかわってきた経験から「最初、コンピューターはコストだった。ソフトでは論文は書けず、料金も取れなかった。それが今ではソフトやサービスで論文が書けて料金も取れる。一方で、セキュリティはまだコストの段階にある。それもセキュリティがあるかないかの『1』か『0』かだ。これからはセキュリティもコストではなく価値と考え、松竹梅のランクにわけて必要に応じた使い分けができるようになっていくと望ましい」とIoT時代のセキュリティの考え方の展望を語り、セミナーを締めくくった。