ITの日常に潜む「落とし穴」と「ツボ」をわかりやすく解説!

IoT時代のセキュリティをどう考えるか

»

■IoTとセキュリティ
先日のエントリで、IoT時代の監視社会という大仰なタイトルをつけましたが、今回は関連あるテーマとして、IoTのセキュリティについてもう少し書いてみます。

今日、IoTとセキュリティは大変注目されているテーマです。昨年10月、産学官の連携によるIoT関連の技術開発や新規ビジネス創出の推進を目的として、IoT推進コンソーシアムが設立されました。コンソーシアムには専門ワーキンググループの一つとして、IoTセキュリティワーキンググループが設置され、1月27日に第1回会合が開催されています。今後、IoTを対象にしたセキュリティのありかたを示すガイドラインの策定などが期待されています。
(参考)「IoT推進コンソーシアムの設立について」http://www.iotac.jp/news/establish/


■IoTの特徴
従来のネットワークは、PCやスマートフォンなど情報通信を主機能とする端末が接続することを前提としてきましたが、IoTではそのような情報通信端末以外の無数のモノがネットワークに接続されることになります。

モノとネットワークの接続は、例えば自動車分野やホームエネルギーマネジメント(HEMS)といった消費者向けのサービスをはじめ、さまざまな分野への活用が期待されています。

さて、一般的にIoTで利用されるデバイスは、

 ・限定的なリソースで動作することが前提
 ・管理者がすぐにアクセスできない場所に設置される場合がある
 ・不特定多数の人がアクセスできる場所に設置される場合がある
 ・長期間にわたり使用される

といった特徴があると言われています。

例えばPCやスマートフォンであれば、CPUやメモリは十分に高性能であり、大容量のバッテリーをもち、常に人が画面と向き合って操作することを前提とすることができます。一方で、農場や道路などのモニタリングを目的として屋外に大量に設置されるようなセンサーデバイスでは、処理能力も低く、消費可能な電力も限定され、一旦設置された後は故障しない限り更改されることもないことが想定されます。

したがって、IoTを活用したサービスを考える際も、従来の情報通信端末とは異なるこれらの前提に合わせていく必要があります。

20160208.pngのサムネイル画像


■IoTに必要なセキュリティの考え方
ではIoTにおけるセキュリティは、どのように確保していけばいいのでしょうか。

具体的な対策は今後発表されるIoTセキュリティガイドライン等に記載されていくことになると思われますが、上記の特徴を踏まえると、少なくとも考え方としては以下の3つのポイントが重要になるのではないでしょうか。

(1)設計時点からセキュリティを考慮する
デバイスの置かれる環境や性能の制約により、設置後のセキュリティ対策の実施が不可能な状況がありえます。また、誰かが悪意をもってデバイスを直接物理的に操作する可能性も想定されます。そのため、暗号化やデータの最小化など、いわゆるセキュリティ・バイ・デザインの考え方が求められます。

(2)IoTシステムのサプライチェーン全体を考慮する
従来ネットワークにつながっていなかったモノが新しくつながることになるIoTシステムでは、従来以上にさまざまな主体がシステム構築・運用に関わることが想定されます。サプライチェーンの一部に脆弱性があることで全体が危機にさらされることがあります。

(3)デバイスのライフサイクル全体を管理する
前述のように、一度設置されたデバイスの更改は困難なケースが多くなるでしょう。そのため、サービスの終了後に大量に設置されたIoTデバイスが放置され、それらの収集したデータが悪用される可能性も想定されます。IoTシステムの設計においてはそれぞれのデバイスのライフサイクルを考慮し、適切な管理プロセスを用意する必要があるでしょう。

Comment(0)

コメント

コメントを投稿する