IoTデバイス開発で最低限押さえたいセキュリティのポイント:組み込み開発 インタビュー(1/2 ページ)
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。
IoT(モノのインターネット)の活用が広がりを見せる中、製造業が作る製品もIoTを活用したコネクテッドデバイス化している。従来ネットワークにつながらなかった製品がつながるようになる中でデータを守るサイバーセキュリティは重要度を増し、製品開発の段階からセキュリティの機能を組み込む必要性が生まれてきている。
電子証明書発行サービス大手の米国digicert(デジサート)では「IoTデバイスのデータセキュリティを確保するにはまず電子証明書を導入することだ」とIoTデバイス向けの提案を強化している。電子証明書ソリューションで既に数多くの導入実績を持つことを強みとし、PKI(公開鍵暗号基盤)電子証明書によるソリューションの価値を訴求。政府や自治体、業界団体などにIoTデバイスの開発時から電子証明書を組み込むように働きかけを強めている。
デジサートでIoTセキュリティ担当バイスプレジデントを務めるMike Nelson(マイク・ネルソン)氏に、IoTセキュリティに関する動向や日本の製造業に対する印象、IoTセキュリティに取り組む上で必要な考え方などについて話を聞いた。
セキュリティ対応の進捗度は企業の姿勢で異なる
MONOist 日本の製造業のIoTセキュリティへの取り組みをどのように見ていますか。
ネルソン氏 IoTセキュリティはまだ始まったばかりの領域でありグローバルで同じような傾向がある。大手企業の方が比較的進捗が早いように見え、中小企業は遅いかもしれない。ただ、小さな企業にも正しい取り組みを進めている企業などもあり、一概にはいえない。企業姿勢の左右されるということがいえるだろう。経営層の意識などに影響を受けるように感じている。
「デバイス認証」「データ暗号化」「データの完全性」がポイント
MONOist 製造業がIoTデバイスのセキュリティにはどうやって取り組むべきだと考えますか。
ネルソン氏 IoTデバイスをセキュリティ面で見た場合のリスクとしては「盗聴」「改ざん」「なりすまし」「否認」などがある。これに対応するためにはIoTデバイスでは3つのポイントで対策が必要になる。1つ目が「デバイス認証」、2つ目が「データ暗号化」、3つ目が「データの完全性」である。特に、従来は認証や証明が必要な数は企業内で限られていたが、IoTデバイスなどを対象とした場合は膨大な数になる可能性があるため、何らかの自動化やそれを行うための基盤が必要になってくる。
われわれは長年にわたり公開鍵暗号方式(PKI)の電子証明書基盤のサービスを展開し、世界中に多くの導入実績を持つ。公開鍵暗号方式の認証基盤は、公開鍵と秘密鍵の2つの鍵を用いた暗号化と復号により、インターネット上で安全にデータのやりとりを行うための仕組みである。公開鍵と秘密鍵を1つのペアとし、片方の鍵で暗号化したものは、もう一方の鍵で復号しなければ読み取ることができない。このそれぞれの鍵によって「デバイス認証」「データ暗号化」「データの完全性」の3つが基本的な領域では確保できるようになる。
例えば、秘密鍵を情報を集める企業内に保有し、公開鍵を各IoTデバイスに配布する。IoTデバイスで公開鍵によって暗号化されたデータは、途中で漏えいがあったとしても復号できないために活用できない。企業内に保有された秘密鍵で復号されて初めてデータとして活用できるようになる。こうした仕組みを簡単に実現できるのがPKI電子証明書基盤である。サイバーセキュリティに関する技術にはさまざまなものがあるが、IoTデバイスセキュリティの最低限のところとして、こうした技術は必要だと考えている。
Copyright © ITmedia, Inc. All Rights Reserved.