IoTでは遠隔アップデートの必須化を では、サイバーデブリを産み出さないために、IoT機器のベンダーやその周辺企業はどのようなことができるのだろうか？ まず後藤氏が指摘したのは、セキュリティガイドラインの整備。「Security by Design」の考え方を最優先とした製品設計があらゆる企業に浸透するよう、産官が連携して文書やルールを用意すべきだとした。 中でも、後藤氏は「OTA（Over The Air）更新をすべてのIoT機器に」と強調する。無線でファームウェアを半自動更新するOTAが普及すれば、未知のサイバー攻撃に対する防御がグッと向上する。ただし課題も当然あり、OTA自体をよりセキュアな方式にするための技術はもちろん、車などに対してのOTAでは走行中に再起動されないようにするなど、更新のタイミングも考慮しなければ人命に関わる事故に繋がりかねない。 加えて、業界側の意識変化を促すにも時間はかかる。PCをはじめとするIT業界では脆弱性発見から修正パッチをリリースするまでの流れが「当たり前」となったが、このレベルに達するまで10年かかったと後藤氏は振り返る。IoTのセキュリティリスクを、IT業界以外の関係者が理解するには、曲折も予想される。 「私としては、すべてのIoT機器がOTA更新できるようなってほしいが、さすがに難しい。ならばせめて『事業用のIoT機器』だけでも普及を図りたい。（メンテが行き届きづらい）安価な機器については、寿命を設ける（キルタイマー機能を盛り込む）という発想もいるかもしれない。」 一方、IoTの保守サービスの可能性はどうだろうか。事業系のIoTはともかく、コンシューマー向けの家電系IoTでは、有料の保守サービスは受け入れられづらいとみるのが普通だ。そこで後藤氏は、コンシューマー向けIoTはレンタルでの提供を前提とし、原則“non売り切り”とするのも1つの方向性だとした。 IoTのセキュリティについては、なんらかの社会的制度も必要になってくるだろう。「IoTでは発売後20年に渡って製品をサポートし続けなければならない。それだけの体制・制度をどう作っていくべきなのか、考えなければ」。 この分野の議論はまだまだ途上で、国が規制するのか、業界がルールを作るのか、はたまた業界・分野別に対策を講じるのか、結論はまだ出されていない。ただ日本では、自動車・医療・おもちゃなどの業界で安全対策を積み重ねてきた歴史があり、参考にできることが多いと後藤氏は指摘した。