意義あり? 誤解?--IoT脅威を可視化する「NOTICE」プロジェクトの舞台裏

ZDNet Japan Staff 2019年07月22日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 2019年6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」の特別講演では、「“意義”あり? 誤解? ~IoT脅威を可視化する『NOTICE』プロジェクトの舞台裏」と題したパネルディスカッションが行われた。本稿ではその模様をレポートする。

「国が消費者の機器に無差別侵入」というのは本当か?

 2019年2月、脆弱な国内のIoT機器の調査と対応を呼び掛ける国家的プロジェクト「NOTICE」が始まった。NOTICEは「National Operation Towards IoT Clean Environment」の略だが、憲法が定める「通信の秘密」に抵触するのではといった懸念が示され、その実施をめぐって賛否が沸き起こった。パネルディスカッションは、このNOTICEプロジェクトをテーマに据え、情報通信研究機構(NICT)サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏、ラックの武田一城氏、駒澤綜合法律事務所長の高橋郁夫氏の3人のパネリストが、プロジェクトの意義、懸念をめぐる見解を議論した。

 まず、武田氏がパネルディスカッションを実施するきっかけと経緯を紹介した。同氏は、ZDNet Japanでの連載「企業セキュリティの歩き方」を執筆している。

ラックの武田一城氏
ラックの武田一城氏

 総務省とNICTがNOTICEの取り組みを発表したところ、メディア報道で「プライバシー侵害につながる危険性」「実質的に不正アクセスと変わらない行為」との指摘があり、なかには「通信の秘密に抵触する」との懸念も見られた。武田氏は連載の記事で自身の考えを述べたが、事実関係や法律関係で不明点もあったという。

 「どのような調査なのか具体的に知っているわけではなく、また、憲法や法律に詳しいわけでもありません。報道の中には政府のセキュリティに対する取り組みを誤読させるようなものもありました。NICTでの本件の主要人物や法律の専門家を交えて議論することで、深掘りしていきたいと思いました」(武田氏)

 それでは、NOTICEの意義や目的は何か。ディスカッションの最初のテーマと「そもそもなぜNOTICEをやるの?」について、NICTでの本件の“主要人物”とされた井上氏は、「国が消費者の機器にむやみに無差別侵入するようなイメージを持たれている方もいらっしゃったようです。SNSでも大きく炎上したこともあり、正しく説明することが難しい状況になっていました」と振り返った。

 井上氏によると、NOTICEの背景には、IoT機器へのサイバー攻撃の増加がある。2016年以前はデフォルトのIDとパスワードを悪用されてマルウェアに感染するケースが多く、2017年にはIoT機器の脆弱性を攻撃して感染するケースが増えた。また、2018年にはIoT機器を踏み台にしてその背後にある機器を攻撃するなど脅威の高度化が進んだ。井上氏は「そんななか、NOTICEには、まずは容易に推測されるIDとパスワードで動いているIoT機器をなんとかしなければという発想がありました」と説明した。

総務省、NICT、ISPが連携、IoT機器を調査

 NICTにおける研究開発の成果では、インシデント分析センター「NICTER(ニクター)」や、対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」、サイバー攻撃統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」、サイバー攻撃誘引基盤「STARDUST(スターダスト)」といったセキュリティシステムがよく知られている。こうした取り組みを推進してきたのが井上氏だ。

 「NICTERの観測レポートによると、IoTへのポートスキャンの数は増えていて、全体の47.7%を占めています。宛先ポート番号別に見ると23/TCPが最も多く、445/TCP、80/TCPと続きます。IoTで用いられる22/TCP、52869/TCP、81/TCP、8080/TCP、2323/TCPも増えています」(井上氏)

情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏
情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏

 NOTICEについては、「無差別侵入する前に政府にはいろいろやることがあるはずだ」という世論もある。これについて井上氏は、「ご指摘の通りで、実際、2017年10月に総務省のサイバーセキュリティタスクフォースが公表した『IoTセキュリティ総合対策』には、脆弱性対策にかかる体制の整備として、さまざまな取り組みを挙げています。セキュリティ・バイ・デザインの意識啓発や支援、認証マークの付与や比較サイトを通じた推奨、IoTセキュアゲートウェイ、セキュリティ検査の仕組みづくりなどの取り組みの1つとして、今回のNOTICEの取り組みである『サイバー攻撃の踏み台となる恐れがある機器に係る脆弱性調査』があります」と説明した。

 こうした取り組みを行うためには法的な根拠が必要になるが、当然のことながらNOTICEのための法改正が行われている。2018年5月23日に交付された「電気通信事業者法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」(電気通信事業法と通称「NICT法」の改正)だ。

 高橋氏は、「NICT法では2024年3月31日までの間、NICTが特定アクセス行為を行い、通信履歴などの電磁的記録を作成することを目的に掲げています。特定アクセス行為は2条4項で決められており、NICTからネット上の機器に一定の識別符号を入力しアクセスする行為を指します。このように組織法上の根拠と、特定アクセス行為の概念の定めのある取り組みです」と解説した。

 NOTICEは、NICT単独のプロジェクトというわけではない。法的に根拠があり、総務省、NICT、インターネットサービスプロバイダー(ISP)が連携し、IoT機器の調査やその利用者への注意喚起を行う取り組みということだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]