現在、全世界でインターネットに接続されているデバイスは約90億台。この数字はインターネット利用人口の70億人よりも多い。そして、自動車や家電に通信端末を組み込こんだ、いわゆるIoT(Internet of Things)にかかわる「モノ」の数は、2015年で250億、2020年には500億に達すると予想されている。
米Symantecで技術戦略パシフィック地域情報セキュリティ担当を務めるMark Shaw氏
IoTの普及で懸念されるのはセキュリティの確保だ。すでに車載の組み込みOSがハッキングされたり、防犯カメラの制御システムが乗っ取られて画像が盗まれたりしている。
米Symantecで技術戦略パシフィック地域情報セキュリティ担当のMark Shaw氏は「IoTのセキュリティ対策は、デバイス(センサ)からネットワーク、データ管理に至るまで、既存のセキュリティ対策を拡張して講じる必要がある」と説く。その上で同氏は、IoTのセキュリティで考慮すべき項目として、以下の4つを挙げる。
- デバイスの保護と収集されるデータのプライバシーを守ること
- デバイスの多様性と性能面での制限を考慮すること
- ソフトウェアのアップデート手段を確保すること
- 収集されるビッグデータの所有権を明確にすること
特にデバイスの多様性と性能面での制限は、IoTにとって挑戦的な項目であるという。PCやスマートフォンであれば、デバイス自体にセキュリティソフトウェアをインストールできる。
しかし、IoTの場合、すべてのデバイスにセキュリティ機能を組み込めるとは限らない。Shaw氏は「デバイスのCPUやメモリ性能によっては、セキュリティ機能に制限が生じる。そうした場合には、デバイスとサーバとの間でやり取りする際の、データと相手先が“本物”かどうかを確認する対策が重要になる」と指摘する。
例えば、下図のデバイス/ゲートウエイの段階で講じる対策には、IDS(侵入検知)/IPS(侵入防止)、アプリケーションサンドボックス、認証、コードサイニング証明書が挙げられる。特にコードサイニング証明書は、サーバから配布されるソフトウェアアップデートが改ざんされていないかを確認するといった重要な役割を果たす。
Symantecが示すIoTシステムにおけるエンドツーエンドのセキュリティ対策