ITだけじゃない。セキュリティの新分野「製品セキュリティ」とは:武田一城の「製品セキュリティ」進化論(1)(2/2 ページ)
インターネットとつながるデジタル機器が普及してきた現在、サイバー攻撃の対象はPCやスマートフォンのようなIT分野だけではなくなってきた。本連載では、近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象や考察を述べる。
「天と地」ほども違うサイバー攻撃の一般認識と現状
「製品セキュリティ」が重要になった最大の理由は、デジタル機器というターゲットが新たに攻撃者に狙われるようになったからだ。また、デジタル機器がターゲットになった理由は、デジタル機器自体の高度化(機能強化)と普及にある。
サイバー攻撃は、2020年代においてはビジネスの一形態となった。しかも、その規模は非常に大きく、巨大産業と言っても過言ではない。もちろん、サイバー攻撃は立派な犯罪でもあるので、ビジネスだと言い切ることに違和感や反論のある方もいらっしゃるだろう。
しかし、ダークウェブと呼ばれる闇のマーケットの存在や攻撃のための各プロセスの分業制など、現在のサイバー攻撃の実態を知れば知るほど、ビジネス以外の言葉で表現することが難しいことを再認識できる。
また、サイバー攻撃は、高度なハッカー技術を有する「技術オタク」による「趣味趣向による愉快犯」的なイメージがまだまだ根強いかもしれない。しかし、現実はもっと深刻だ。サイバー攻撃の本質は、産業のない国などによる「国家レベルの組織犯罪」というものに近い。
もちろん、これらの国家は、「ならずもの」扱いされており、正直なところまともなお付き合いが難しい国家だ。そして、それらは民主的な国家であることは、まずあり得ない。飢えた民衆がたくさんいようとも、独裁的な政治体制を守るためにサイバー攻撃を実施し、その収入で軍備をそろえている――そのような例も決して少なくないと思われる。
「技術オタク」と「国家による組織犯罪」というのは、天と地ほども離れているが、現在のサイバー攻撃を取り巻く状況の現実と一般の方の認識は、それほどの乖離(かいり)がある。もし、本記事を読んでいただいている方で、まだ「真夜中にポテトチップスと炭酸飲料を大量に摂取しながら攻撃をしているBMI値の高そうなハッカー」像をイメージされる方がおられるのなら、すぐにでもアップデートするべきだ。
「製品セキュリティ」が重要になる理由
このように、サイバーセキュリティの主戦場はこれまでのIT分野だけでなく製品分野にも拡大している。そして、この製品セキュリティにおける脅威が重大な社会問題になってしまうのには大きな理由がある。
その理由とは、ITのセキュリティがサイバー空間と呼ばれるディスプレイの向こう側の脅威であるのに対して、「製品のセキュリティは私たちが生きている現実世界での脅威に成り得る」ということだ。
これを聞いて、すぐに腑に落ちる方は決して多くないだろうから、少々補足させていただく。製品セキュリティにおいて守るべき対象とは、デジタル製品そのものだ。デジタル製品は私たちの身の回りに数多く存在し、それを他者に乗っ取られた場合には、私たちの生命にも危険を及ぼす可能性があるからだ。「生命に関わるなんて大げさな」と思われるかもしれないが、残念ながら、このことは事実またはすぐそこにある危機だ。
デジタル機器には、自動車や医療機器、産業機械、デジタル家電、そしてスマートハウスのように家自体がデジタル機器化しているものまで含まれる。特に自動車と医療機器の2つの分野が非常に厄介だ。
自動車は、オートパイロット機能が搭載され始め、いわゆる自動運転のレベルがアップしつつある。もし、この機能を乗っ取られた場合、時速100km以上で障害物にぶつけられるなど、重大な事故へとつながる。
医療機器の場合は、その機器が止められてしまえば、それが生命の危険に直結することすらある。もちろん、製造業の各社はすでに相応の対策を取っている。それでも、攻撃者とはその対策を無効化して利益を得ることを常に狙っている存在だ。それができるようになってしまえば、身代金の要求の実施など、金銭を得るための手段は選ばないだろう。
ITへのサイバー攻撃は、あくまで個人情報や企業などの機密情報の窃取が中心だ。例えば、ITへの攻撃における最大の脅威は、金融システムの本丸ともいえる勘定系システムが乗っ取られることだ。もし、この攻撃が成功すると、攻撃者は数億〜数兆円単位の金銭を得ることができるだろう。
そして、当然のように企業は致命的なダメージを受ける。このような脅威へのリスク低減処置は当然必要だが、それが個人の生命などに直結してはいない。それに対して、先に述べたようなデジタル製品への攻撃は、生命への脅威となり、その点が「製品セキュリティ」が重要になる最大の理由だ。
今回は、本連載の第1回として、セキュリティ分野においてデジタル機器へのサイバー攻撃が重大な脅威となりつつあり、その結果としてセキュリティ分野において「製品セキュリティ」という新分野が勃興しつつある点と、その重要性について述べた。
次回以降は、この「製品セキュリティ」に関連する幾つかの重要なポイントを深掘りしていく。顕在化しつつあるサプライチェーンリスク、対応期限が迫っており多くの製造業で懸案事項になっている欧州のサイバーレジリエンス法(CRA)、脆弱性対応の迅速化のために必要不可欠なSBOM(ソフトウェア部品表)などについて解説する予定だ。
著者プロフィール
武田一城(たけだ かずしろ) 株式会社ベリサーブ
1974年千葉県生まれ。セキュリティ分野のマーケティングスペシャリスト。次世代ファイアウォールをはじめ、さまざまな新規事業の立ち上げに従事。セキュリティに限らず、IT全般の動向にも詳しく、インターネットや書籍の執筆実績が多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演をはじめ製品セキュリティの啓発に向け精力的に活動している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載『武田一城の「製品セキュリティ」進化論』バックナンバー
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。
高まるサイバー脅威にどう備えるか、製造業セキュリティ向上に向けた経産省の政策
アイティメディアが2025年8月に開催した「製造業セキュリティセミナー 2025 夏」では、経済産業省の石坂知樹氏が基調講演に登壇し、同省が推進する工場セキュリティ政策の最新動向を解説した。本稿では、基調講演の主要なポイントを紹介する。
Miraiが開いたIoTセキュリティのパンドラの箱、新制度のJC-STARは希望となるか
バッファローは、増大し続けるIoT機器のセキュリティ課題に対応するため2025年3月から国内での運用が始まった「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」と、同社のJC-STAR適合商品について説明した。