企業セキュリティの歩き方

IoT機器侵入調査は本当に「通信の秘密を侵害し、検閲に当たる」のか?

武田一城 (ラック) 2019年02月21日 09時26分

  • このエントリーをはてなブックマークに追加
  • 印刷

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回の記事では、総務省と情報通信研究機構(NICT)によるIoT機器調査「NOTICE」の概要と、この発表に対するマスコミの「通信の秘密を侵害している」「検閲にあたる」ことを主旨とした報道について述べた。また、日本の国民性から本来は国家に自分自身を守ってもらおうという傾向が強い一方で、近代日本の歴史的な経緯から、幾つか過剰に反応しやすい部分も併せ持ち、NOTICEがその部分に抵触してしまったことなどについて考察した。

 今回は世界的なサイバー攻撃の現状を踏まえて、「政府は本当のところ何がしたいのか」について、また、法的な観点では法律家の意見などを交えて述べていきたい。

サイバー攻撃の現状と脆弱なIoT機器

 世の中のセキュリティ製品やサービスを提供するベンダーは、「サイバー攻撃の脅威は絶えず高まり続けている」「昨日のセキュリティ対策はもう時代遅れで、最新のセキュリティ対策が必要となる」などという主旨のメッセージを発することが多い。筆者もセキュリティ対策の代名詞のような企業に所属していることもあり、講演などの場でこうした主旨に近い意味の話をすることもある。

 しかしながら、読者の皆さんもご存じの通り(もちろん全てとは言わないが)、それらのメッセージには各ベンダーの営業トークと呼べる要素が多分に含まれている。実際に脅威が高まり続けているかはさて置き、相当数の被害が存在する。それにも関わらず、残念ながら攻撃を行っている犯罪者たちのほとんどは逮捕されていないというのが現実だ。このように現在のサイバー空間は、攻撃者にとって非常に都合の良い環境であり、サイバー攻撃はリスクが低く、もうかる可能性が高いビジネスと言えるだろう。

 多くのユーザーが利用しているインターネットは、実はこのように危険な世界だ。さらに、インターネットには人間だけではなくモノも勝手につながり始めており、それらは「IoT機器」と呼ばれる。IoTの普及は、インターネット接続機器の数を加速度的に増大させ、それらのすべてはサイバー攻撃の脅威に晒されることになる。この増え続けるIoT機器は台数も種類も膨大なため、ユーザーがセキュリティを保ちながら管理することは難しくなっている。つまり、世の中には脆弱なIoT機器が溢れるようになったのだ。

脆弱なだけで攻撃者に狙われる

 セミナーなどの講演の場で、筆者はしばしばサイバー攻撃は二極化の傾向が強いと説明している。実は、この二極化はサイバー攻撃に限った話ではなく、ビジネス全般に置き換えることができるものだ。例えば自動車の場合、日本市場は軽自動車と外国産の高級車やSUVに二極化している。スーパーマーケットなどの販売店も、安さを重視した店舗と高級感や専門性を持つ両極端の店舗に人気が集中しているなど、このような傾向は市場のあちこちで散見される。

 そのため、サイバー攻撃も高額で売却できることが分かっている機密情報や一攫千金が狙える仮想通貨などが狙われるか、非常に脆弱なウェブサイトなどが狙われるか。これもサイバー攻撃市場の二極化だ。前者の攻撃は一般に「標的型攻撃(当たれば利益は大きいが、リスクは高い)」などと呼ばれ、後者の攻撃(コツコツ利益を稼ぎ、リスクは小さい)で狙われる脆弱なシステムの代表がIoT機器と言える。

 IoT機器は、用途や金額などによって異なるが、その数の多さからどうしても管理が行き届きにくく、脆弱なまま放置される。場合によっては、ユーザーは設置したことも忘れていわゆる「野良IoT機器」になっていることも少なくない。このような脆弱な機器は、1台ではそれほど攻撃者に利益をもたらさないが、数千~数万台の機器が攻撃者によって自由に操作できるようになると、不正侵入の際の踏み台にすることができ、大規模なDDoS(分散型サービス妨害)攻撃なども可能になる。まさに、「ちりも積もれば山となる」ということわざの通りだ。

 攻撃者にとってサーバやPCはもちろん、小さなIoT機器もそれを見つけて乗っ取ることができれば、一つひとつは小さくても、それらを束ねることで大きな利益を得られる可能性がある。脆弱なIoT機器は世に溢れており、攻撃者は苦労せずそれを探すことができるはずだ。そして、残念ながらIoT機器のユーザーはもちろん、IoT機器を提供するベンダー側ですら、必要なレベルの運用ノウハウや知識を持つとは言えないのが現実だ。こうなると、もはやその脅威を受容するか、さもなければユーザーでもベンダーでもない“誰か”が対応しなくてはならない。これがIoTを取り巻くサイバー攻撃の現状であり、2020年の東京オリンピック・パラリンピックの開催も控え、この深刻な脅威をできる限り低減させる必要がある。

 このような状況から、総務省とNICTがNOTICEを実行することになったのだろう。しかし背景や経緯を知らない国民にはあまりにも唐突であり、議論が不十分な部分もあったかもしれない。それでも、政府側は「そんな悠長なことをしていては日本を守るための時間がない」という考えが強かったのだろう。そこには「通信の秘密を侵害し、検閲をすることで国民を監視したい」というような思惑よりも、この脅威を少しでも早く取り除きたいという意識が強かったと思われる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]