注目される「IoT（モノのインターネット）」、専門家がセキュリティリスクを指摘

1月に行われた世界最大の家電見本市である「CES2015」でも注目を集めていた「モノのインターネット（Internet of Things=IoT）。 PCやスマートフォンに限らず、家電や自動車などから健康器具、医療器具、果てはセンサー付きのスポーツウェアなどまでありとあらゆるものがインターネットに接続されることを指す言葉で、ここ数年注目度が急上昇している。 Google会長のエリック・シュミット氏が世界経済フォーラムの壇上で「インターネットは消える運命にある＝あらゆるモノがネットに接続して意識することなく存在することになる」とまで言い切った「IoT」。今後の産業トレンドの最重要項目であることは間違いない。 しかし、そんな中、アメリカ連邦取引委員会（FTC）が報告書「internet of things Privacy＆Security in a Connected world」において発表していたように、IoTの抱えるリスクもまた、今後は大きな課題になってくると見られている。 FTCのリポートによれば、IoTは大きく分けて2つのリスクを抱えている、という。それは、セキュリティリスクとプライバシーのリスクである。 「セキュリティリスク」については、通常のPC同様に個人情報への不正なアクセスが可能になることや、他のシステムへのDoS攻撃などを容易にすること、それによってデバイス使用に伴う際の物理的な安全性を揺るがしかねないことが挙げられている。 例えば、ネットサーフィンやネットショッピング、写真の共有などができるスマートテレビだ。PCと同様のことができるこのテレビにはPC同様の脆弱性がある。カード番号などの個人情報をこうしたデバイスが記録していた場合、不正アクセスによって悪意ある他者によって盗まれる危険性があるということだ。こうしたIoT化したスマートデバイスが生活の中に入り込めば入り込むほど、個人情報に不正アクセスしやすくなってしまうわけだ。 また、大きな被害こそ報告されていないものの、すでに今の段階でもアイロンがスパムメールの配信踏み台にされたり、コーヒーメーカーが第三者に遠隔される事案が報告されている。これがもし飛行機やその管制系統、あるいはスマート化された車などがハッキングされて、運転不能になったりしたら命に関わる問題になるのだ。 この点においては、セキュリティの専門家も同意見だ。株式会社カスペルスキーの情報セキュリティラボ・チーフセキュリティ エヴァンゲリストである前田典彦氏はこう語る。 「第三者による機器の遠隔操作や、送受信データの窃盗・悪用などの被害が起こりうるIoTのセキュリティリスクは2つのことに起因します。まず、安易なネットワーク接続です。送受信データが平文のままで暗号化していない、機器制御が無認証のまま、といった状態でネットワーク接続が可能なデバイスがもっとも危険です。一般ユーザーがこれらの危険な状況に気付くことなくネットワークに繋いでしまうことも危険性を助長する要因になっています。2つめは設計段階におけるセキュリティ概念が稀薄あるいは欠如していることです。これはIoT機器の製造者側にしばしば見られます。FTCがセキュリティを後付でなく初めから組み込むべきだと主張したのはこれに起因する部分が大きいのではないかと考えます」 さらに、日常的なさまざまな「モノ」が対象になることも、従来のPCなどにおけるセキュリティとは決定的に異なる。 「IoTの場合、個々のデバイスの寿命が長く、また、ソフトウェアの更新が適切に行えない点が決定的な差異だと考えます。ハードウェアとしてのデバイスよりも、ソフトウェアの寿命および進化（大容量化と複雑化）が速いことがその要因です。 先進的な研究者は、さまざまなIoT機器の脆弱性を脅威として指摘しています。自動車、飛行機（および管制）、船舶、信号などの交通制御、電力スマートメーター、心臓ペースメーカー、ゲーム機、家電、トイレ、家電系をコントロールするHEMS、家庭用防犯システム、POSレジ、ビル管理システムなどなど、リスクをもたらす要因となる脅威は枚挙に暇がありません。 現段階では、すべてのIoT機器には脆弱性などの問題が発覚し得るという前提に立つべきでしょう。なぜなら、ほぼすべての問題はソフトウェアに起因し、問題が発覚しないソフトウェアは歴史上ないからです」 さらに、FTCは2つ目のリスクとして「プライバシーの侵害」を挙げる。 あらゆるものがネットに繋がるIoTにおいて、さまざまなセンサーを介してありとあらゆる個人情報が収集される。例えば、健康に関する情報や位置情報、支払情報などだ。どこで何を買ったか、どんな健康状態なのかなどが筒抜けなのだ。 これからますます利便性を増し、増えていくであろう「モノのインターネット＝IoT」機器。 IoTデバイスを作る企業は、セキュリティを後付ではなく初めから組み込んだり、問題発生時に迅速にソフトウェア更新を行う仕組みづくりや、ネットワーク非接続オプションを設定するなどのセキュリティ面の対策を講じることが重要だろう。また、IoT機器でサービスを運営する側も、プライバシーやセキュリティのリスクを消費者にきちんと通知することや、収集するデータを最小限にすること、パーソナルなデータを扱う部署のコンプライアンスをしっかりすることなどが必要になってくるだろう。 もちろん、ユーザーは利便性の反面、内在するリスクを認識すべきなのは言うまでもない。 「IoT機器全てに問題があるわけではなく、セキュリティを念頭に置いた設計とサポートを提供しようとするものもありますし、製造元の中にもその意識を高く持っているところもあります。ただ、そのような商品は、セキュリティを考えていない機器よりも高価になる傾向があります。多少高くてもセキュリティ上健全な機器を、ユーザー（消費者）が選択する社会になるのか、という点も大きな課題だと思っています」 ＜取材・文／HBO取材班 協力／カスペルスキー（ http://www.kaspersky.co.jp/ ）＞ まえだのりひこ●ISP関連会社やSIerにてネットワークとUNIXサーバ構築運用業務を経て、2007年1月にカスペルスキー入社。同社で実施しているマルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事。特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)幹事、 一般社団法人日本スマートフォンセキュリティ協会(JSSEC)幹事なども務める。