IoTデバイス開発で最低限押さえたいセキュリティのポイント:組み込み開発 インタビュー(2/2 ページ)
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。
IoTデバイスにどうやって認証を組み込むのか
MONOist IoTデバイスに電子証明書などの仕組みを組み込むのに大事な点としてどういうことがあると考えますか。
ネルソン氏 いろいろな障壁があると思うが重要な要素の1つが経営陣に必要性を理解してもらいサポートを得るという点だ。その承認を得られた後は具体的に製品を設計する仕組みの中にセキュリティを組み込んでいくということが重要になる。「セキュアバイデザイン」などもよく言われているが、そもそもの設計開発のプロセスの中にセキュリティ技術を組み込んだ設計やこれらのテストなどの環境を入れていかなければならない。仕組みとして製品にセキュリティを取り入れていくフレームワークが重要だ。
MONOist 企業全体のITセキュリティであれば経営層や情報システム部門に対しセキュリティを課題の中心に位置付けた提案が行えると思いますが、IoTデバイスのセキュリティを機器に組み込むという話になると、事業部門のビジネス状況や製品開発部門の技術動向などとも密接に関連する領域になります。提案方法やアプローチの方向性も変わってくると思うが、どういう取り組みを進めていますか。
ネルソン氏 われわれができることは限られており、企業個々のセキュリティ戦略や、新たなセキュリティフレームワークを作るというようなところまで踏み込むことはできない。ただこうした領域は公的機関や団体などが既にさまざまな取り組みを行っている領域だ。例えば、米国ではNIST(米国国立標準技術研究所)が業界ごとのIoTデバイスのセキュリティフレームワークなども示している。その他にもさまざまな団体がガイドラインなどが用意されている。これらのフレームワークやガイドラインに対し、最適な導入方法であるベストプラクティスを示していくことがわれわれの役割だと考えている。
電子証明書などはセキュリティ専門家にとってみれば、基本中の基本のようなものであるが、IoTデバイスではそこにも注意が払われていないというのが現実的なところだ。業界団体の標準などへの提案や政府や自治体の動きと足並みをそろえた取り組みを進めていく。既に日本もはじめ主要国で法制化が進む兆しが見えており、これらに対し必要で現実的な手法を提案する。
「チップに証明書を組み込む」などパートナーを拡大
MONOist ただ多くの製造業の話を聞くとIoTデバイスのセキュリティにはコスト面や製品の制約などがあり、そう簡単にセキュリティ機能を組み込むことは難しいのではないかと考えますが、その点はどう取り組むのですか。
ネルソン氏 実際にわれわれの調査でもIoTセキュリティの障壁として「コスト」と「製品上の制約」が挙がってきており理解はしている。これらに対してどう対応していくのかを模索している状況だ。
1つはパートナーとの協業でこれらの障壁を乗り越えていくということを考えている。IoTデバイスに電子証明書を組み込むということを考えれば、製品設計段階から電子証明書を組み込んでしまうということがポイントになるが、そのためには搭載できるチップなどが必要になる。われわれはインテルやNXPなど主要なチップベンダーに対して証明書を事前に組み込めるように話を進めており、実際に実装しているケースなども既にある。
さらに、半導体デバイス書き込みソリューションを展開するData I/Oとの協業で、これらのチップに実際に証明書を仕込むことなども既に行える。こうした協業を通じて、より簡単に製品開発段階から証明書を組み込みやすい環境を作り出していく。今後もさらにパートナー企業を拡充していく方針である。
MONOist IoTデバイスのセキュリティ対策について日本の製造業にアドバイスがあれば、教えてください。
ネルソン氏 セキュリティに限った話ではないがIoTの世界ではコラボレーションが重要なポイントになる。そのためには情報をシェアするということが重要だ。セキュリティの世界ではインシデント(セキュリティ上脅威となる事象)が発生すればそれを共有するというのが当然のものになっている。米国では、ISAO(情報共有分析機関)が業界ごとに脅威情報を共有する取り組みなども行っている。こうした脅威の状況が分かれば同じ痛みを共有するもの同士で自然に協力して対策を進めていくという機運が生まれてくる。
製造業が今まで無縁だったセキュリティにり取り組まなければならないといってもいきなりすぐに対応するのは難しいというのはよく理解できる。まずは身近で情報を発信したり共有したりすることが重要なのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
IoTデバイスのセキュリティに不可欠な要素とは
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。
PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。
工場のネットワークセキュリティ対策とは?
インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。
OPC UAはなぜ「安全に」通信が行えるのか
スマート工場化や産業用IoTなどの流れの中で大きな注目を集めるようになった通信規格が「OPC UA」です。本連載では「OPC UA」の最新技術動向についてお伝えします。第3回である今回は「つなげる」「安全に」「伝える」の3つのポイントの内、「安全に」を取り上げます。
「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開
JPCERT コーディネーションセンターは2019年6月27日、IoT製品の開発者や製品の導入利用者向けに、「IoTセキュリティチェックリスト」を公開した。
開発中の家電も「マルウェアのおとり」に、パナソニックのIoTセキュリティ対策
パナソニックは2019年10月25日、東京都内で記者向けに技術セミナーを開催し、IoT(モノのインターネット)製品に対するサイバー攻撃の現状や、製品セキュリティにおける同社の取り組みを説明した。