IoT機器のセキュリティ対応を確実に

僕は以前からスマートフォンやネットワーク家電のソフトウェア更新を提供者責任として、うるさく言ってきました。完全な製品は作れないことは明らかな上、不具合のあるInternet接続機能ほど恐ろしいものはないからです。
ちょうど先週に実例がありました。
スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ

機器がInternetに接続されて、不具合があると(想定していないことであっても不具合は不具合、念のため)、危惧の一つは外部から制御されること。例えば、エアコンであれば、変な温度に設定されるとか。これならば自分が困るだけですが、社会に関わる制御だったり、踏み台にして他への攻撃に使われることもあります。

これら機器をネットワーク家電と言おうと、IoTと言おうと、提供者の責任は変わりません。不具合を含まないように最大限の努力をするだけでなく、常識的な製品寿命の間はソフトウェア更新を提供する義務があります。
と言うのは簡単ですが、まともにやろうとしたら、対応するための体制を維持すると同時に、対応に必要な費用を確保しなくてはなりません(想定してあらかじめ製品価格に載せておくとか)。

このように正しく対応する提供者だけならば問題ありませんが、現実には出したままや、力尽きて市場から退場してしまう提供者もあるでしょう。変に国が絡んでくる前に、業界として対応すべきなのですが、限界がありそう。不具合対応予定のない迷惑IoT機器は強制的に不活性化してInternetから外すくらい必要なのですが、そのような仕組みを入れることすら自主的には難しそう。いずれはInternetに接続することすら、低いレイヤーで証明書が必要になるかもしれない。

ところで、IoT製品開発時のセキュリティ対策と、出荷後のセキュリティ対応、もしかするとこれだけでビジネスになりそう。既に頑張っている会社がありそうですね。