IoTセキュリティ

2000年ごろからインターネットの発展とともにPC/サーバーが犯罪者やテロ集団の標的にされ深刻な社会問題となってきました。今も連日のように、コンピュータ・ウィルス（以下ウィルス）による大規模な個人情報流出事件が発生し、世間を騒がせています。

現在、家電・自動車・機械設備など様々なものにコンピュータが組み込まれ、故障の診断／予測・性能向上・利便性向上のために、インターネットに接続され始めています。これをIoT（Internet of Things：様々なモノがインターネットに繋がること）と呼びます。PC/サーバーを標的にしていた犯罪者やテロ集団がこれを見逃すはずもなく、IoT機器をウィルス感染させ、情報を盗み取る事件の発生とともに、IoT機器に対するセキュリティ（IoTセキュリティ）にも注目が集まり始めています

身近な出来事

2013年末、クリスマス商戦で賑わう米国の某ショッピングセンターにおいて、キャッシュレジスターがウィルスに感染し、クレジットカード情報を含む顧客情報が流出して大きなニュースとなりました。今のキャッシュレジスターは、クレジットカードの情報を取り扱えるようになっています。その情報をホストコンピュータに送り、個人のカード決済などに利用しています。情報は、キャッシュレジスター内で暗号化され、ホストコンピュータへ送られるので安全なはずでした。しかし、犯罪者は、キャッシュレジスター自体をウィルスに感染させ、カードから個人情報を読み込み暗号化するまでの間に、情報を盗んでインターネットへ送りだしていました。被害規模は、数千万件の個人情報に及んでいます。

機器をインターネットに接続しなければリスクがないかというと、そうでもありません。例えば、銀行ATMは、完全にインターネットから独立したネットワークになっているにもかかわらず、ウィルス感染が報告されています。インターネット接続でウィルス感染したPCを保守業務に利用したのではないかと、考えられています。このように、ほとんどの機械には、コンピュータが入っており、完全にインターネットから切り離された世界は存在しなくなってきたのかもしれません。

図．IoTに伴うリスク例

これから

人間は、利便性を追求し、様々な道具を生み出してきました。生み出された道具には、使い方を誤ると大変な事になる負の側面（リスク）も必ずあります。例えば、車が爆発的に普及しはじめた時期には、交通事故が多発し、交通戦争と名付けられました。しかし、それで普及が止まるわけではなく、国や様々な企業による対策と、各個人の意識改革によりリスクを乗り越えてきました。IoTも、自動車の普及時期と同じように、リスクがあるからと言って、進歩が止まるわけではなく、リスクを理解しコントロールしながら爆発的に利用拡大していくと考えられます。

既にIoTのセキュリティに対しては、IPA（情報セキュリティ推進機構）が、「組込みシステム・制御システムのセキュリティ対策関連」として様々な調査報告・対策ガイドラインを発信し活動を始めています。私たちも、IoTによって「便利になる」というだけではなく、それに伴うリスクを最小限に抑えるためにはどう行動するか、一人ひとりが意識改革を図る時期にきていると思います。例えば、キャッシュレジスターの個人情報漏えい事件であれば、クレジットカードの月額利用限度額を利用実績のぎりぎりに設定したり、毎月の利用明細におかしなところがないかをしっかり確認したりし、自己防衛を図っていくことが大事です。リスクを理解し対策を取りながら、新しく便利になるIoTの世界を謳歌していきましょう。

2015年7月