ITだけじゃない。セキュリティの新分野「製品セキュリティ」とは：武田一城の「製品セキュリティ」進化論（1）（1/2 ページ）

インターネットとつながるデジタル機器が普及してきた現在、サイバー攻撃の対象はPCやスマートフォンのようなIT分野だけではなくなってきた。本連載では、近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象や考察を述べる。

[武田一城，MONOist]

おおむね情報システム（IT）が標的だった従来のサイバー攻撃

　インターネットの普及から始まったサイバー攻撃とセキュリティの攻防は、それから数十年が過ぎた現在でもまったく収束する気配はない。それでも、一般的には1990年代のIT草創期から、最近までサイバー攻撃の主戦場はおおむねIT分野に限定されていた。

　古くからITに携わっていた方であれば、インターネットとコンピュータウイルスというものを同時に認識した方が少なくないだろう。少なくとも、IT普及の契機となったWindows 95の発売当初には、コンピュータウイルスの対策として、何らかのアンチウイルスソフトをセットで購入することが普通だった。

　その後、携帯電話機やスマートフォンのようなPC以外でインターネットにアクセスできるデバイスの普及などもあったが、それでもサーバやネットワーク、ストレージを含む、いわゆる情報システム部門が管轄する「ITの世界での話」を大きく越えるものではなかった。

ITのセキュリティとともに「製品セキュリティ」が新分野となる

　これまでのサイバーセキュリティは、主に「情報システム（IT）」の防御、すなわち情報資産の保護に主眼を置き、その担当部門として情シス部門が中心的な役割を担ってきた。一方、近年では「デジタル機器」が抱える脆弱（ぜいじゃく）性が、社会インフラや産業活動に甚大な影響を及ぼすリスクとして認識されるようになってきた。

　それには、インターネットに接続されるデバイス（広義でのIoT［モノのインターネット］製品）の爆発的な普及が背景にある。それらの機器の見た目はハードウェアだが、ソフトウェアやファームウェアが組み込まれており、実際にはPCやサーバと同様にWindowsやAndroidのような汎用OSによって成り立っている。また、それらを接続するネットワークも性能やコストの関係から、インターネットプロトコル（IP）ベースのネットワークに順次置き換わってきている。

　つまり、一見すると特殊なハードウェア（デジタル機器）や生産設備（工場）であったとしても、その実態がITとほとんど変わらなくなってきてしまっている。そして、それらをターゲットとした攻撃の脅威が大きくなってきた現在、前者のデジタル機器（製品）のサイバー攻撃対策は「製品セキュリティ」と呼ばれるセキュリティにおける新分野になりつつある。

　実は、ハードウェアに組み込まれたソフトウェアには、ITと同じように脆弱性が潜んでいる場合が少なくない。Wi-FiやBluetooth経由でのネットワーク接続が当たり前になってきたことで、それらは標的となり得る存在となった。

　また、デジタル機器は、ほとんどの場合で一般顧客への販売が目的であり、市場競争力が不可欠となる。さらに、デジタル機器は陳腐化も激しく、コスト競争力がIT以上に重要になる。

　コスト競争力に加え、開発スピードも重要なデジタル機器には、結果として多くのOSS（オープンソースソフトウェア）が含まれるようになった。OSSは多くの人に利用されるための仕組みであり、数多くの利用者がいる。そのため、脆弱性が公開された際の対応も迅速さが要求される。迅速な対応のためには、脆弱性の運用ルール、管理のための組織体制などの整備が必要となり、膨大なデジタル製品を製造／出荷する製造業では頭の痛い問題になっている。

　なお、上述した生産設備のサイバー攻撃対策は、「工場セキュリティ」と呼ばれるもので、製品セキュリティと関係性は深いものの、具体的な防御方法など、基本的には別の話になる。さらに、電力、交通、水などの産業用制御システムなどの社会インフラも含むと「OT（制御技術）セキュリティ」とも呼ばれ、さらに広範囲のカテゴリーになる。

　これらのIT以外のセキュリティカテゴリーは、先述の「製品セキュリティ」とは異なるものの、かなり密接な関係にあるため、本連載でも類似のテーマとして、今後数多く言及していくことになるだろう。