IoT時代のセキュリティ、参照すべき“過去の教訓”：あの脆弱性を覚えていますか（2/3 ページ）

[陰山遼将，MONOist]

「IoTは1990年代のITシステムと同じ状況」

　高橋氏はIoTに関するセキュリティの脆弱性の原因として、悪用される可能性を前提に設計開発が行われていない点や、汎用のOSやプロトコルをベースとしたネットワークに接続されている点を挙げた。「そこに高価値な情報があると分かれば、犯罪者はどんな手段を使ってでもやってくる。IoTの時代には、価値の高いデータを集積するため、悪用される確率はとても高い」（高橋氏）。

悪用される可能性を前提に設計開発が行われていない点や、汎用のOSやプロトコルをベースとしたネットワークに接続されている点において、現在のIoTは1990年代のITシステムの状況と似ているという（クリックで拡大）

　また高橋氏は、IoTに関するセキュリティシステムが、悪用されることを前提に設計されていない点や、汎用のOSやプロトコルを利用しているという点について、「1990年代のITシステムも全く同じ状況だった。かつては企業の情報システムにも汎用OSを利用していた」とその類似性について言及。さらにその結果について、「この十数年間でワームのまん延や不正アクセスが横行するなど、ITシステムの脆弱性が狙われたことで、情報漏えいなどの事件が多発した。こうした攻撃手法は現在も日々高度化している」と説明する。

「IoTデバイスはどんなに小さくてもコンピュータ」

（クリックで拡大）

　高橋氏は「IoTで利用されるデバイスは、見た目は小さくなるがコンピュータであることには変わりない。それゆえに、セキュリティについてもこれまでのコンピュータと同じように考える必要がある。IoTの世界で実装されているセキュリティのレベルが、10年前のITシステムと同じ水準であるのに対して、攻撃手法は進化を続けているということを忘れてはいけない」と主張する。

　では、どういった対策をとっていくべきなのか。高橋氏は、ITシステムにおけるセキュリティ対策の例を紹介した。まず、予防策として行われているのが、アクセス制御を取り入れるといった安全性を考慮した設計の徹底、脆弱性の事前検査、暗号化によるデータの保護だ。事後対策としては、脆弱性が露呈した際の予行演習や、速やかにパッチを作成して配布できる環境を構築するといった取り組みがあるという。

　高橋氏はこれらのITシステムにおけるセキュリティ対策の多くは、“過去の教訓”としてIoT時代においても有効であるとする一方で、「暗号化によるデータの保護やパッチの作成については難しい可能性がある」と説明する。その理由には、“IoT特有の課題”があるという。