第3回IoTに求められるセキュリティ対策Vol.2 ~プログラマにとってのIoTとは?~

第3回IoTに求められるセキュリティ対策Vol.2 ~プログラマにとってのIoTとは?~

前回は、今のインターネットを利用した、IoTの接続方法についてお話しをさせていただきました。

今回はその続きです。

ですので、メニュー番号も前回の続きで書かせていただきます。

3.IoTのセキュリティとは?

IoT(インターネット)のハードの接続方法を前回紹介させていただきましたが、実はそれ以前の問題があったりします。

1.IPアドレスが足りない。

前回の記事で最初に、

IoTに接続されるデバイスの数が、2020年には500億になる。

と言いましたが、実はこの数が問題になっています。

今のインターネットは、サーバとPCの送受信(データのやりとり)を行う際に、『IPv4』という通信方式を採っており、それはサーバやPCの『住所』に当たる(だからIPアドレスと呼ばれる)もののため、1台に1つ必要なのです。

ところがこのIPv4は、2の32乗(4,294,967,296 )個のIPアドレスしか持っていません。 つまり全然足りないのです。正直に言うと、今もうすでに足りていないのです。

そこで新たに『IPv6』という新規格の通信方式が作られました。

この『IPv6』規格だと、IPアドレスは約2の128乗(約340澗(かん))個のIPアドレスを持つことができます。

この340澗という数は、

340兆 ✕ 1兆 ✕ 1兆 = 340澗

数字にすると

約 340,282,000,000,000,000,000,000,000,000,000,000,000

というほぼ天文学的な数なので、足りなくなると言うことはまずありません。

ただ、IPv4とは規格が異なるため、両方を同時に使うのが難しいのです。

言ってみれば『アナログ放送』と『デジタル放送』の違いのようなものです。
ですので、端的に言ってしまえば『チューナー』が必要になります。
その『チューナー』を今、世界中で色々と準備している最中なのです。

ですが、移行期には間違いなく混乱が生じるでしょうし、それぞれにIPv6規格に対応したルーターやハブを交換しなければなりません。つまりそれなりのコストがかかると言うことです。

IoTのためには避けて通れない問題ですので、そう遠くない将来、間違いなく移行するでしょう。

2.IoTの接続方法(ソフト)

ここからは、IoTに求められるセキュリティ対策の中でも、最も重要なソフト面からのアプローチを見てみたいと思います。

今“ソフト面から”とは言いましたが、それはインターネットのセキュリティソフトや、ファイヤーウォールソフトのことだけを指すのではなく、そのIoTのセキュリティに必要な考え方のことを指します。

まずは情報セキュリティにおける重要ポイントをおさらいしておきましょう。

情報セキュリティにおける重要ポイントは、以下の3つであると定義されています。

C:機密性(Confidentiality)
I:完全性(Integrity)
A:可用性(Availability)

C:機密性とは

許可された人以外使えない。 不正がすぐに発見できる。 何より安全であること。

I:完全性とは

データの待避が出来る。 クラッカー対策が出来ている。

A:可用性とは

壊れにくい。 継続して安定していること。

を指します。

IoTに求められるセキュリティは、インターネットと同じくこの条件を満たしている必要があるのです。

何度も申し上げている通り、IoTでは様々なデータのやりとりを行います。

特にウェラブルデバイスなどから上がってくる身体(肉体)の情報は、『究極のプライベート情報』だと言っても過言ではありません。

万が一、そんなモノが盗まれたとしたら?
その商品を市場投入する過程で、セキュリティに対する考え方が曖昧であったとしたら?
そのメーカーはただでは済まないでしょう。

VOLKSWAGENや旭化成のマンション問題の例を挙げるまでもなく、今メーカーのコンプライアンス(法令遵守)問題が取りざたされていますが、今後IoT市場が成長・発展していく中で、セキュリティ対策で問題が発生すれば、どれほどの大企業であったとしても、一瞬にして倒産という事になりかねないほどの、大きな問題を抱えているのです。

『IoTが普及すれば、保険屋が儲かる』と揶揄されているのは、こういう背景があるからです。

それに対して、IoTに新市場を見出しているメーカーではどんな動きがあるのかを見てみましょう。

これは大変に残念なことなのですが、IoT市場の可能性という『飴』にばかり目を奪われ、セキュリティ対策という『ムチ』には温度差がある。というのが現状なのです。

 これ関しては、IoTに対するセキュリティーの考察という文献がインターネットに公開されていますので、ぜひこちらをお読みいただきたいと思います。

 以下はその文献から、基本的な箇所を引用、要約、抜粋させていただいた内容となります。

市場にある温度差の原因としては、やはりIoTの知識や、セキュリティに関して専門的な知識(特にネットワーク関係)を持つ人が少ないことがあげられます。

セキュリティ対策を実施している例を挙げるとすれば、スマート・メーター(電気・ガス・水道の消費量)に関してはNIST(National Institute of Standards and Technology)からガイドラインが発行されており、具体的なセキュリティー対策が検討されています。

また自動車業界では、欧州が主導して行ったEVITA(E-safety Vehicle Intrusion proTected Applications)プロジェクトによる報告書、IPA(情報処理推進機構)が発行した「自動車の情報セキュリティへの取組みガイド」を参考に、各社準備を進めている状況ですが、あくまでも『ガイドライン』でしかなく、法的な拘束力はありません。

このように『ガイドライン』が発行され、とりあえずの指針が出ている市場はまだよい方で、セキュリティに関する制約事項がまだ定まっていない市場の方が多いのです。 それには様々な理由が考えられますが、セキュリティに対する制約条件を上げていくなら以下のようになると思います。

ビジネス的側面

  • IoTに対するセキュリティーの必要性が理解できていない。
  • 法律による規制、業界のガイドラインが整備されていない。
  • IoT自身が安価なため、セキュリティー対策への追加投資が難しい。
  • 保護すべき価値が存在しない。もしくは微少である。
  • セキュリティーを理解した設計者、製造者、サプライヤーが少ない。

技術的側面

  • 漠然とした不安はあるが、どのように着手するのか分からない。
  • どういったリスクが存在するのか分からない。
  • どういったセキュリティー技術が必要なのか分からない。
  • サイバー・リスクがIoTの品質にどういった影響を与えるのか不明瞭である。(リスクが内在しても、品質が変わらなければ大きな問題ではない)
  • 独自性が強いアーキテクチャーのため、適用できるセキュリティー技術が少ない。

参考資料:https://www-304.ibm.com/connections/blogs/ProVISION8185/resource/no84/84article4.pdf?lang=ja

文献著者プロフィール抜粋 大西 克美 Katsumi Ohnishi

日本アイ・ビー・エム株式会社 グローバル・テクノロジー・サービス事業 ITSデリバリー ディスティングイッシュト・エンジニア(技術理事)

1986年日本アイ・ビー・エム入社。 IBM Academyメンバー。IPSJ正会員。 大学、研究機関担当のエンジニアとして、UNIXシステム、インターネット基盤のプロジェクトを担当。 2000年前半より、ITセキュリティーのアーキテクトとして、金融機関等のコンサルティング、アーキテクチャー設計などで活躍。 日本アイ・ビー・エムにおけるセキュリティーの第一人者として、講演、政府活動、執筆活動など幅広く活躍中。 現在はグローバル・チームの一員としてサイバー攻撃対策を中心に活動中

 

3.IoTのセキュリティとは?

IoTの接続方法(デバイス)

IoTのセキュリティを考える上で、どうしても考えなければならない問題がもう一つあります。
それはIoTそのものを支える、デバイスの問題です。

『もの』から様々な情報を送信するデバイスですが、これは多種・多様なものが市場に投入されることは間違いありません。

前述で取り上げた、『アント・サイズ・デバイス』などはまさにその一つです。

今のインターネットに存在したものとは明らかに異なるデバイスが、新たに市場投入されることもあるでしょう。

そのため、以下のことを考える必要があるのです。

  • デバイスの保護。
  • 収集されるデータのプライバシーの保守・保護。
  • デバイスの多様性と性能面での制限。
  • ソフトウェアのアップデート手段の確保。
  • 所有権を明確にした上でのビッグデータの収集。

デバイスの保護や、収集されるデータの保守・保護は言うまでもありませんが、 デバイスの多様性と性能面での制限は、賛否両論が展開されるでしょう。

しかし、IoTにとっては挑戦的な項目ですが、超えなければならない壁であることも事実です。

PCやスマートフォンであれば、それ自体にセキュリティソフトウェアをインストールできます。

しかしIoTの場合は、すべてのデバイスにセキュリティ機能を組み込めるとは限りません。

と言うのも一部のデバイスは、セキュリティ機能に制限が生じるCPUやメモリを使う場合があるからです。

これはあくまでも(セキュリティ機能に制限がある)デバイスを入れる『もの』のコストの問題です。

そのボーダーラインは、100ドル(約1万円)だと言われています。

PCやスマートフォン、自動車やAppleWatchといった高価なものであれば、新たな付加価値として、デバイス分のコストを上乗せした値上げがあったとしても、市場は受け入れるだろう。と各メーカーは見ています。

しかし、それが先に言ったボーダーライン(100ドル)を切る商品の場合は、そう簡単にコストを上乗せすることはできないというのです。

現在市場に投入されているIoTの商品のほとんどが、スマートフォン経由なのもこういった理由からです。

『自宅の中』という閉ざされた空間内に限定することで、そしてセキュリティ対策が施されたスマートフォン経由でデータのやりとりを行うことで、デバイスとデータの保護を行っているのです。

AppleWatchがアプリを使ってiPhone経由で、データのやりとりを行っているのも同じ理由でしょう。

と言うのも、先にお話しした通りAppleWatchに代表されるウェラブルデバイスから得られるデータは、『究極のプライベート情報』と言われるものです。

AppleWatchはそれなりの価格であり、またその対策のためにiPhone経由での通信のみに限定しているので、問題は発生し難いと考えられますが、その他のウェアラブルデバイスの場合は話が異なります。

多くのウェラブルデバイスが、先にお話ししたボーダーラインギリギリの価格帯であり、またそれを開発している企業の中には、セキュリティ対策に対する十分な知識がない場合が考えられるため、非常に危険な状態であることが予想されるのです。

IoTの黎明期でもある現在は、十分なセキュリティ対策が施されていない、危険なデバイスが発売されやすい時期だとも言えます。

このように、IoTのセキュリティ対策については、まだまだ解決しなければならない問題が山積していると言えます。

4.IoTが今一番求めているものとは?

ここまでこの記事をお読みになられたあなたならもうお気付きでしょう。

そうです。

新たなIoT時代を切り開くプログラマが、圧倒的に足りないのです!!

山積する問題を解決するためには、専門的な知識やスキルを持ったプログラマが必要です。

それも1人や2人ではありません。何百人、何千人、いやそれ以上のプログラマが必要なのです。

逆の言い方をすれば、それだけのプログラマを確保しなければ、IoTの時代は開かれないと言っても言い過ぎではないと思います。

確かに、IoTは大きな可能性を持っています。
その可能性にばかり、目が行ってしまいがちです。

ですが、ここまでお話ししてきたIoTの世界のお話は、可能性の話ばかりではなかったはずです。

可能性が大きければ大きいほど、制約もまた大きくなってくるのです。

この両方を理解し、認識し、その上でIoT(もののインターネット)を進めるために必要な知識とスキルを持った、プログラマが今一番必要なのです。

無料相談会に参加する

未経験からでもクリエイティブクラスのプログラマを目指せる環境 プログラミングスキルだけでなく、より包括的なビジネススキルを学べる場と聞くと、上級者向けという印象を持つかもしれません。 Creator’s Hiveの受講者の9割がプログラミング未経験者です。

受講中はもちろんのこと、卒業後の就職・転職まで、万全のサポート体制を整えているため、未経験からプログラマに転職を希望されている方にもオススメです。

Creator’s Hiveプログラマ養成所の無料説明会に参加しよう!
 無料説明会を随時行っており、個別の相談も大歓迎です。

無料相談会に参加する

LEAVE A REPLY

*
* (公開されません)

CAPTCHA


*

COMMENT ON FACEBOOK