IoTの進展により、さまざまな機器がつながるだけでなく、異業種間の連携による新たな価値の創造が始まっている。しかし一方で、つながった分だけリスクが拡大することから、一社だけでなく、バリューチェーン全体での対策が不可欠である、とセキュリティ研究の第一人者である徳田英幸氏は指摘する。また、安全なIoT活用による新産業創出をめざし、セキュリティ対策を投資と捉えて積極的な取り組みをしていくことが、企業の差別化につながると語った。

「第1回:つながるリスクに備えよ」はこちら >

つながることで迫られる企業の意識改革

――第1回でのお話で、IoTの進展により、攻撃を受けるリスクが非常に高まっていることがよくわかりました。実際に製品やサービスを提供する企業には、どのような発想の転換が求められるのでしょうか。

徳田
かつては、取締役会の席で「TCPポート23の脆弱性が」などといった話題を持ち出せば、「TCPとは何か」、「ポートとは何か」、といった話になって、最後には「そういうテクニカルなセキュリティの問題はここで議論することではない、担当部署で議論しなさい」と、情報システム部門に丸投げされてしまうという場面がよく見られました。

しかし現在では、自分の会社のサービスや製品が「踏み台」にされて、攻撃に加担することになったり、逆に工場の設備などを攻撃されて生産ラインが止まったり、最悪の場合、提供している製品が人命を脅かす場合もあり得ます。その際に、「私たちは知りませんでした」ではすまされません。場合によっては、多額の損害賠償金を支払わなければならないこともあります。企業の社会的責任の観点からも、企業のトップがしっかりコミットしてセキュリティへの対応をしていく必要があります。

例えば、2015年に米国のサイバーセキュリティの専門家二人が、四輪駆動車のジープに搭載されたコネクテッドカーシステム「UConnet」の脆弱性を突いて、ジープをハッキングした事例をご存知でしょうか。これにより、ジープを製造しているフィアット・クライスラー・オートモービルズ(FCA)は大打撃を受けました。

ハッキングの様子はインターネットで公開されていますが、走行中の車のスピーカーから突然大音量で音楽が鳴り出したり、エアコンから風が吹き出したり、ワイパーが勝手に動き出したり、しまいにはエンジンが停止し、ブレーキが利かなくなって側溝に突っ込む衝撃的な様子が映し出されています。これを受けて、FCAは140万台ものジープのリコールと、ソフトウェアの改善を余儀なくされ、数十億円規模の損害が発生したと言います。

こうした事例を見て、うちは自動車メーカーじゃないから関係ないと言っていられるでしょうか。IoT時代では、さまざまなものがつながることが大きな価値を生みます。業種を超えた連携ができるからこそメリットが享受できる。その反面、他業種で起きていることだから自分たちには関係ない、とは言えなくなっているのです。

画像: つながることで迫られる企業の意識改革

異業種間の連携が新たな価値とリスクを生む

――具体的には、異業種間がつながることで、どのようなことが実現されるのでしょうか?

徳田
例えば、最近の車にはOBD2という自己診断機能を提供するコネクタが装備されていますが、これを利用して車の状態や運転状況をセンシングすることが可能です。その記録をもとに、優良ドライバーには、保険料を割り引くといった自動車保険が、損害保険会社から提供されています。さらには、バス会社がバス運転手の運転記録から急発進・急加速が多い人を見つけたり、急ブレーキが多い場所を見出してバス停の配置を見直したり、運転手教育や都市デザインなどに活かす試みもあります。

あるいは、コンビニエンスストアなどの配送車のデータを解析してみると、このエリアは左折だけだとスムーズに走行できて、事故も少ないといった知見が得られるかもしれません。従来、運転手の勘や経験に頼ってきた部分を、エビデンスに基づいて検証することで、経済性や安全性に役立てることができるのです。

――さまざまな情報を共有、活用することで新たな価値が生み出されるわけですね。

徳田
そうです。顧客情報だって漏えいしたら大問題になりますが、それこそが企業の大切な資産ですよね。さらにIoTによりさまざまな情報が共有・活用されることで、新たな価値の創生に結びつく。ただし、そこにはリスクがつきものだということです。

しかも、バリューチェーンの中で一番弱いところが狙われて、踏み台にされてしまう。鉄よりも木、木よりも紙のチェーンのほうが破りやすいように、弱いところが狙われるのは当然のことですよね。だからこそ、一社だけで取り組むのではなく、バリューチェーン全体で問題を共有し、業界横断的な標準化や基準値を定めるなど、皆で取り組む姿勢が重要なのです。

画像: 異業種間の連携が新たな価値とリスクを生む

国などが発信するガイドラインを活用すべし

――問題を皆で認識し、対策を協議していく必要があるということですね。

徳田
はい、その点は国も十分に認識していて、さまざまな取り組みを行っています。例えば現在、私が運営委員を務める産官学が参画・連携する「IoT推進コンソーシアム」には、日立やNTTをはじめ、現在、3,400近い法人会員が参加していますが、この中の「IoTセキュリティワーキンググループ」において、「IoTセキュリティガイドライン」を策定しています。内閣サイバーセキュリティセンター(NISC)においても、「安全なIoTシステムのためのセキュリティに関する一般的枠組」と題するドキュメントを作成し、公開しています。

一方で、経営者層に対するセキュリティ教育や啓発セミナーなどは、まだほとんど行われていないのが実情です。国の機関による教育セミナーなども、いまのところ現場のエンジニアを対象にしたものが多い。もちろん5年前に比べれば、経営トップのセキュリティに対する意識が変わってきている実感はありますが、まだ十分ではありません。実際のケーススタディなどを学ぶ場をもっとつくっていく必要があるでしょう。

そうしたことから現在、国がIoT機器の脆弱性に関する情報共有のためのプラットフォームをつくることを計画しています。こうした場に、研究者が持っている脆弱なシステムの情報や対策などをアップデートしていけたら、有効に活用できるのではないかと思います。また、経済産業省や情報処理推進機構(IPA)、NISCなどででもそれぞれ、経営者向けのセキュリティコンテンツを公開していますので、参考になると思います。

社会全体でIoTを進展させ、うまく活用していくためには、セキュリティ対策やIoTリテラシーの向上は不可欠です。ぜひ多くの方に、こうしたドキュメントを参考にして、安全なIoTシステムの創出、安全なIoT活用による新産業創出を進めていただきたいと思います。

セキュリティ対策は「コスト」ではなく「投資」

――国を挙げて、さまざまな啓発活動がなされているんですね。

徳田
もちろんガイドラインには法的な拘束力はありませんが、ガイドラインに則って製品設計・開発・保守・運用などを行うことは、何かセキュリティの問題が生じて、訴えられるような事態に陥った場合に企業を守ることにもつながります。

例えば、米国のアメリカ国立標準技術研究所(NIST:National Institute of Standards and Technology)では、早くからIoT医療機器に関するガイドラインをまとめていて、企業はこれに準じて製品やサービスをつくっています。もし、日本の医療機器メーカーがガイドラインを無視して製品をつくってしまうと、輸出が難しくなるなど、参入障壁となることもあるでしょう。

逆に言えば、きちんとセキュリティ対策をしていることが、企業の価値となるということ。環境対策におけるエコマークのように、セキュリティ対策のレベルを一目で確認できるようなセキュリティマークがあれば、差別化できるのではないかと思っています。数年前から私はこうした認証マークをつくることを提案しているのですが、信頼できる製品、サービスに対する認知度を上げていくことが、企業の利益にもつながると考えています。

画像: セキュリティ対策は「コスト」ではなく「投資」

――なるほど。セキュリティ対策はコストではなく、投資というわけですね。具体的には、どのくらいの予算を割くべきなのでしょうか?

徳田
それは非常に本質的な問題で、経営者も頭を悩ませている問題だと思います。少なくとも、サイバーセキュリティ攻撃を受けた際に、どういった影響があり、どの程度の損害を被るのか、事前にリスク分析をしておくことは不可欠であり、そのための投資は欠かせないと思います。

ちなみに、現在、米国の経営コンサルティングの半分以上の案件は、もはやセキュリティリスクの分析に関するものだという話もあります。それくらい、セキュリティ対策が企業にとって最重要課題だということです。

そうした中で、IoT機器の脆弱性を効率よく検証できるツールの開発にも期待が集まっています。現状では、検証プログラムを走らせるのに、十数時間もかかったりして、対策が遅れがちですからね。またそうして得た検証結果や脆弱性に関する情報、新しいマルウェアの分析結果などを皆で共有できるようなプラットフォームづくりも必要でしょう。そうしたさまざまな取り組みこそが、企業の利益、社会の価値につながることは間違いないと思います。

(取材・文=田井中麻都佳/写真=秋山由樹)

画像: 徳田英幸氏 1975年慶應義塾大学工学部卒。同大学院工学研究科修士。1983年ウォータールー大学計算機科学科博士(Ph.D. in Computer Science)。1983年米国カーネギーメロン大学計算機科学科に勤務、研究准教授を経て、1990年より慶應義塾大学環境情報学部に勤務。慶應義塾常任理事、大学院政策・メディア研究科委員長、環境情報学部長などを歴任。2017年より国立研究開発法人 情報通信研究機構 理事長、慶應義塾大学客員教授。日本学術会議情報学委員会委員長、スマートIoT推進フォーラム座長、重要生活機器連携セキュリティ協議会会長なども務める。

徳田英幸氏
1975年慶應義塾大学工学部卒。同大学院工学研究科修士。1983年ウォータールー大学計算機科学科博士(Ph.D. in Computer Science)。1983年米国カーネギーメロン大学計算機科学科に勤務、研究准教授を経て、1990年より慶應義塾大学環境情報学部に勤務。慶應義塾常任理事、大学院政策・メディア研究科委員長、環境情報学部長などを歴任。2017年より国立研究開発法人 情報通信研究機構 理事長、慶應義塾大学客員教授。日本学術会議情報学委員会委員長、スマートIoT推進フォーラム座長、重要生活機器連携セキュリティ協議会会長なども務める。

「第3回:セキュリティ人材育成とつながるビジネスの未来」はこちら>

This article is a sponsored article by
''.