MONOist IoTデバイスに電子証明書などの仕組みを組み込むのに大事な点としてどういうことがあると考えますか。
ネルソン氏 いろいろな障壁があると思うが重要な要素の1つが経営陣に必要性を理解してもらいサポートを得るという点だ。その承認を得られた後は具体的に製品を設計する仕組みの中にセキュリティを組み込んでいくということが重要になる。「セキュアバイデザイン」などもよく言われているが、そもそもの設計開発のプロセスの中にセキュリティ技術を組み込んだ設計やこれらのテストなどの環境を入れていかなければならない。仕組みとして製品にセキュリティを取り入れていくフレームワークが重要だ。
MONOist 企業全体のITセキュリティであれば経営層や情報システム部門に対しセキュリティを課題の中心に位置付けた提案が行えると思いますが、IoTデバイスのセキュリティを機器に組み込むという話になると、事業部門のビジネス状況や製品開発部門の技術動向などとも密接に関連する領域になります。提案方法やアプローチの方向性も変わってくると思うが、どういう取り組みを進めていますか。
ネルソン氏 われわれができることは限られており、企業個々のセキュリティ戦略や、新たなセキュリティフレームワークを作るというようなところまで踏み込むことはできない。ただこうした領域は公的機関や団体などが既にさまざまな取り組みを行っている領域だ。例えば、米国ではNIST(米国国立標準技術研究所)が業界ごとのIoTデバイスのセキュリティフレームワークなども示している。その他にもさまざまな団体がガイドラインなどが用意されている。これらのフレームワークやガイドラインに対し、最適な導入方法であるベストプラクティスを示していくことがわれわれの役割だと考えている。
電子証明書などはセキュリティ専門家にとってみれば、基本中の基本のようなものであるが、IoTデバイスではそこにも注意が払われていないというのが現実的なところだ。業界団体の標準などへの提案や政府や自治体の動きと足並みをそろえた取り組みを進めていく。既に日本もはじめ主要国で法制化が進む兆しが見えており、これらに対し必要で現実的な手法を提案する。
MONOist ただ多くの製造業の話を聞くとIoTデバイスのセキュリティにはコスト面や製品の制約などがあり、そう簡単にセキュリティ機能を組み込むことは難しいのではないかと考えますが、その点はどう取り組むのですか。
ネルソン氏 実際にわれわれの調査でもIoTセキュリティの障壁として「コスト」と「製品上の制約」が挙がってきており理解はしている。これらに対してどう対応していくのかを模索している状況だ。
1つはパートナーとの協業でこれらの障壁を乗り越えていくということを考えている。IoTデバイスに電子証明書を組み込むということを考えれば、製品設計段階から電子証明書を組み込んでしまうということがポイントになるが、そのためには搭載できるチップなどが必要になる。われわれはインテルやNXPなど主要なチップベンダーに対して証明書を事前に組み込めるように話を進めており、実際に実装しているケースなども既にある。
さらに、半導体デバイス書き込みソリューションを展開するData I/Oとの協業で、これらのチップに実際に証明書を仕込むことなども既に行える。こうした協業を通じて、より簡単に製品開発段階から証明書を組み込みやすい環境を作り出していく。今後もさらにパートナー企業を拡充していく方針である。
MONOist IoTデバイスのセキュリティ対策について日本の製造業にアドバイスがあれば、教えてください。
ネルソン氏 セキュリティに限った話ではないがIoTの世界ではコラボレーションが重要なポイントになる。そのためには情報をシェアするということが重要だ。セキュリティの世界ではインシデント(セキュリティ上脅威となる事象)が発生すればそれを共有するというのが当然のものになっている。米国では、ISAO(情報共有分析機関)が業界ごとに脅威情報を共有する取り組みなども行っている。こうした脅威の状況が分かれば同じ痛みを共有するもの同士で自然に協力して対策を進めていくという機運が生まれてくる。
製造業が今まで無縁だったセキュリティにり取り組まなければならないといってもいきなりすぐに対応するのは難しいというのはよく理解できる。まずは身近で情報を発信したり共有したりすることが重要なのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.