ジャパンセキュリティサミットDay1の午後の部は、ベンダーによるブレイクアウトセッションがAルーム、Bルーム2部屋に分かれて開催された。

BルームではSociety 5.0時代のトラストサービス、働き方改革におけるセキュリティ対策、IoTネットワークのセキュリティソリューションなどについての発表があった。

デジタル社会の信頼を支える「トラストサービス」とは

▼サイバートラスト 副社長 執行役員 兼 CTO
北村裕司氏

電子認証事業を手掛けていた旧サイバートラストと、Linuxディストリビューターのミラクル・リナックスが合併し、2017年に新しいサイバートラストが生まれた。認証・セキュリティ事業、Linux OSS事業、IoT事業を3本柱としてビジネスを展開している。

世の中のデジタル化が進む中で、「トラストサービス」の重要性が高まっている。日本では、サイバー空間とフィジカル空間を高度に融合させて社会的課題の解決、経済発展、人間中心の社会を実現する「Society 5.0（ソサエテイ 5.0）」が提唱されている。こうした社会では、デジタルの世界の特有の課題に対処することがこれまで以上に重要になってくる。デジタル世界と現実世界とのリンクが強まると、現実社会に与えるフィードバックの影響が一段と高まるためだ。

デジタル特有の課題とはなにか。それが、「あなたは本人なのか？ そのモノは正規なものなのか？ データは間違いないのか？」ということだ。そこで「トラストサービス」が必要になる。サイバートラストが考えるトラストサービスとは、ヒト、モノの識別、認証や、コトの真正性を確保し、長期に渡りバリューチェーンの信頼性を担保する仕組みのことである。

今日は、展示ブースで「バッテリーの真贋判定」のデモを行っている。バッテリーの中の半導体にカギを埋め込むことで、模造品の検知から、デバイスのトラッキング、ステータス確認、操作、リユースや廃棄までのライフサイクルを管理できることがわかる。こうしたトラストサービスの活用はバッテリーに限らず応用できる。

「トラストサービス」というキーワードは、デジタル社会を支えるものとして重要なものだ。今日はこのキーワードだけ覚えてもらえればと思う。

デジタルツインで変わる、これからの働き方とセキュリティ

▼ラック SSS事業統括部 次世代デジタルペネトレーション技術開発部長
兼 サイバー・グリッド・ジャパン サイバー・グリッド研究所シニアリサーチャー
仲上 竜太氏

デジタルツインは「フィジカルとサイバー空間が一致してあたかも双子のようになる技術で、DX（デジタルトランスフォーメーション）やSociety 5.0を支えるもの」だ。デジタルツインによって、社会の基盤がデジタル化されていき、ユビキタス化、インターネットの偏在が進むことにより、守るべきセキュリティが変化している。今後もこれまでのアプローチでセキュリティを確保していけるのか。ここではデジタルツインと新たなセキュリティパラダイムに対応できる、ゼロトラストセキュリティについて紹介する。

これまでのセキュリティアプローチでは、内側は安全、外側は信頼しないという「境界モデル」でゾーンによる静的なアクセスコントロールを行っていた。一方でゼロトラストセキュリティモデルでは、内側も外側も常に敵意にさらされている状況と認識し、ネットワークセグメントの内部にいることや、過去の情報やポリシーを「信頼しない」。

ゼロトラストセキュリティモデルでは、デジタルツインで守るべき重要資産である「データ」に対して、リアルタイムにアクセスを動的チェックし、刻々と変化する状況に対応する。ユーザー認証、デバイス認証だけでなく、登録された端末か、OSやアンチウイルスソフトのパターンが最新か、端末が感染していないかといった情報を基にした「信頼度」を使って、常にアクセスコントロールを行う。すなわち、「ネットワークセグメントを信用しない」という考えに立って「常に最新のポリシーで信用度を検証」し、「すべてのアクセスを確認する」ことで、セキュリティを確保する。

デジタルツインの実現で場所やネットワークセグメントを問わずに働けるように働き方が変わると、新しいセキュリティが求められる。そこにゼロトラストセキュリティが適用できるのではないか。

IoT導入に必要なセキュリティ対策をどう進めるか？

▼日本スマートフォンセキュリティ協会（JSSEC）利用部会 部会長 後藤悦夫氏（ラック）

これからIoTを導入しようと考える企業かも多いかもしれないが、IoT機器は実際には知らないうちに入ってきてしまう。パソコンもスマホも、企業の正式導入に先立ち、好きな人が持ち込んだり利用したりしていた。IoTも同じことが起こる。設備更新時にIoTを利用した新しい機能を追加するなどして、数年するとつながらない機械がなくなる。

それだけにIoTセキュリティは他人事ではない。ロシアのサイトにアクセスすると日本の監視カメラ6000台の映像がリアルタイムに見られる。製造業では古くから安全活動に取り組んでいた。これは短期では浸透しないもの。IoT時代にはサイバー攻撃が作業者の安全にもかかわる。経営者はIoTセキュリティを理解して、「早めに考える風土」を醸成してほしい。

JSSECでは、IoTセキュリティチェックシートを発行し、IoTセキュリティの啓発を行っている。2017年にチェックシート第1版を発行し、好評を受けて2019年2月に第2版を発行した。第2版では、国際性および網羅性の向上、一般利用者向けの解説編の作成を実施した。網羅性としては、縦軸を大きく変えた。NIST（米国標準技術研究所）のCSF（サイバーセキュリティフレームワーク）を使い、60項目を用意した。平常時と異常時の運用に別れていることから、企業でも使いやすくなったと思う。また、解説編では、IoTセキュリティをなぜやらなければならないか、チェックするポイントなどを、20ページほどでわかりやすく解説した。

また、IoTセキュリティ対策向上のための活動も実施している。IoTセキュリティ人材不足と言われるが、ユーザー企業でITを活用する人材が少ない。OT（運用技術）がわかるIT人材と、ITがわかるOT人材の双方の育成が課題であり、人材育成にIoTセキュリティチェックシートを活用してほしい。

サイバーアタックを寄せ付けない、IoTネットワーク・セキュリティソリューション「KATABAMI」

▼SYNCHRO 取締役 最高技術責任者（CTO） 中村健氏

ITセキュリティを構成する要素として、（1）通信上の安全性、（2）通信相手の正当性、（3）保持情報の安全性、（4）利用者の正当性──の4要素がある。

通信上の安全性は、通信しようとする相手が、確かに意図した相手であること。通信相手の正当性は、相手の身元を保証することで、PKI（公開鍵暗号基盤）によって保証される。保持情報の安全性は、エンドポイントのデータが安全であること、侵入されてもデータを抜き取れないこと。これを実現する技術としてブロックチェーンもある。利用者の正当性は、システムが安全でも、最終的に使う人が安全なのか、その人なのか。個人認証をするしかない。

標的型攻撃による情報流出やランサムウエアによる被害など、ITセキュリティリスクは、以上の4要素を満たしていればカバーできる。通信上の安全性を満たすためには新技術の「KATABMI」が利用できると考えている。

KATABAMIは、エンドツーエンド、ポイントツーポイントの通信を暗号化する仕組みを提供するオープンソースソフトウェアのCjdnsを要素技術として使うメッシュネットワーク。ネットワーク層だけで暗号化通信を実現するため、アプリケーションには手を入れないで済む。既存のVPNは、セッション間では暗号化されているけれど、LAN内やエンドポイントは暗号化されていない。一方でKATABAMIが用いるCjdnsは、エンドツーエンドで暗号化した通信をユニークローカルなIPv6アドレスを使って実現しており、安全性が高い。

すでにセキュリティリスクIPカメラシステム、コラボレーションシステムなどで実際に利用を開始している。さらに、容易にKATABAMIによる安全性の高い通信を利用できるように、接続するだけで利用できる「KATABAMI BOX」を開発している。2020年前半にもリリースする予定で、東京と大阪の拠点に置いて、つなぐだけでKATABAMIの通信ができるようになる。

ジャパンセキュリティサミットは3日間にわたって開催される。
第2回、第3回は現在参加者募集である。
詳細はこちらより確認いただきたい。