あらゆるモノをインターネットにつなぐ「IoT（Internet of Things）」の考え方が広まり、さまざまな企業がこれを取り入れて自社のビジネスを変革しようとしています。一方、モノがインターネットにつながることにより、情報が盗まれたり、モノが破壊されたりといったセキュリティ上の懸念も浮かび上がっているのも事実です。このIoTセキュリティをどう考えるべきか、NRIセキュアテクノロジーズ ストラテジーコンサルティング部の山口雅史に訊きました。

トータルでセキュリティを担保することが大切

――IoTセキュリティに対するニーズが高まっていますが、その理由をどのように分析されていますか。

従来の製造業の現場では、クローズドなネットワークを使って生産管理などを行っていました。しかし、現在は情報の可視化などのために、インターネットを含むオープンなネットワークを使う環境になりつつあり、それによってセキュリティ上の懸念が高まっていることが挙げられます。業界別で見たときに、IoTセキュリティへの取り組みが比較的進んでいるのが自動車業界です。コネクテッドカーといったトレンドが生まれていることから、メーカーやサプライヤーにおいて、モノに対するセキュリティを高める取り組みが広まっています。そして、電力やガス、水道、公共交通機関などといった重要インフラを担う業界では、セキュリティを強化すべきという指針が国から示されており、それに則った形で取り組みが進んでいます。

――IoTセキュリティを考える上で、重要になるのはどういった点でしょうか。

IoTのセキュリティの特徴として、デバイスの“点”で防御するだけでなく、デバイスやデバイスの情報を収集・通過するネットワーク（ゲートウェイなど）、および情報を処理するシステム（クラウド上のシステムなど）まで、全体的に“線”の防御が必要です。また、末端のIoTのデバイス（車載器や家電、監視カメラなど）だけでなく、デバイスを開発する工場などの制御システムやインフラまでを含めて総合的に検討することが大切です。たとえば、デバイスで収集したデータをクラウド上でビッグデータの技術を使って分析するといったケースでは、デバイスだけを守っていても攻撃を防ぎ切ることはできません。クラウドに対して攻撃が行われ、情報が流出したり、場合によっては入手した情報を基にデバイスなどに不正に攻撃することも考えられるためです。また、デバイスを作るための工場の制御システムのセキュリティが担保されていなければ、生産ラインが止まるような攻撃を受ける可能性があるだけでなく、製造しているデバイスにマルウェアが仕込まれるといったリスクもあります。末端だけを見ていては、こうしたリスクに対応することはできません。

セキュリティのCIAにセーフティの視点を含めて考える

――ITにおけるセキュリティと、IoTセキュリティではどのような違いがあるのでしょうか。

セキュリティの世界にはCIAという言葉があります。これは、機密性（Confidentiality）と完全性（Integrity）と可用性（Availability）を指していますが、IoTセキュリティではこれに加えて安全性（Safety）の観点も必要だと考えています。製造現場における安全性はISOやIECによって標準化が行われてきましたが、セキュリティという観点は抜けていました。たとえば、近年まではサイバー攻撃によって機器が暴走し、人命にかかわるような事故が発生するといったことは想定されていませんでした。ただ攻撃手法が進化し続ける中で、従来の国内外の規格では想定されていない脅威が増えてきている現状があります。そのため、われわれは機密性・完全性・可用性に追加して安全性に関する考え方を重視したコンサルティングを提供しています。

――IoTセキュリティを強化したいと考えている企業に対して、アドバイスをお願いします。

まず国内外のIoTに関する動向をウォッチする必要があると思います。すでに日本でもIoTセキュリティに関していくつかのガイドラインが出ていますし、また、海外ではコンソーシアムなどを作ってガイドライン作りが進められています。こうした動向を注視し、世の中の時流に遅れないようにすることは重要ではないでしょうか。業界内のコミュニティに参加し、情報を収集したり共有したりする活動も有効でしょう。セキュリティ情報を共有する組織をISAC（Information Sharing and Analysis Center）と呼び、すでに金融機関同士で情報を共有する金融ISACだけでなく、IoTなどに関連する動向としては、自動車業界で同様の取り組みをAuto-ISACという形で立ち上げつつあります。こうしたコミュニティで他社の動向を把握しつつ、自社がどこまでできているかを把握し、その上でセキュリティ対策をどう考えるかが大切ではないでしょうか。

当たり前に必要なデバイスやサービスを使える社会にしたい

――NRIセキュアテクノロジーズでは、IoTセキュリティコンサルティングサービスを提供しています。どういった特長があるのでしょうか。

「どのようなセキュリティ対策を実施すべきかのコンサルティング」、「IoTで使われている制御機器や組み込みデバイス、あるいは実際に製造するモノについての実装面での診断」、さらに「セキュリティ対策の推進に対する実行支援」の3つを柱としています。NRIセキュアテクノロジーズにはコンサルティングチームのほか、セキュリティソリューションの提供やセキュリティの運用サービス（セキュリティ機器運用、ログ監視など）、また診断や実装を行う技術部隊などがありますが、これらが横断的に連携し、お客さまにとって必要なセキュリティ対策をご提案します。またGEデジタル社と連携し、IoT機器に対して診断を行い、認定を行うサービスもあるので、ぜひ活用していただきたいですね。

――最後に、セキュリティに対する思いを伺わせてください。

セキュリティは縁の下の力持ちのような存在です。事故が発生しないことが当然で、何かが発生すれば大きな問題となります。そのような世界で私たちは、安全を守るための活動を長らく続けてきました。その目的はみなさんが安心できる社会を維持することであって、それを提供し続けることが、われわれの果たすべき役割だと思います。本日お話したように、セキュリティの領域がITからOT（Operational Technology）、そしてIoTへと広がりつつあり、みなさんが身近で使うモノが脅威にさらされる時代になっています。その中で、社会全体がサイバー攻撃に怯えることなく、当たり前に必要なデバイスやサービスを使える社会にしていきたいと考えています。