クラウド&データセンター完全ガイド:イベントレポート

ワークスタイル変化とセキュリティ データセンターの新たな使命

データセンター・イノベーション・フォーラム2020 オープニング基調講演レポート

  • 柏木 恵子

2021年4月23日 06:00

弊社刊「クラウド&データセンター完全ガイド 2021年春号」から記事を抜粋してお届けします。「クラウド&データセンター完全ガイド」は、国内唯一のクラウド/データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売:2021年3月31日
定価:本体2000円+税

デジタルトランスフォーメーションは、新しいサービスや価値の創造に欠かせない。また、Covid-19の感染拡大に対向する手段として、新たなワークスタイルが提唱されている。しかしそれに伴い、サイバー空間における新たな攻撃も広がっている。インプレス主催で2020年12月9日にオンライン開催された「データセンター・イノベーション・フォーラム2020」のオープニング基調講演では、ワークスタイルの変化と守るべきセキュリティ、そしてDXに向けたデータセンターの新たな使命について、一般社団法人 重要生活機器連携セキュリティ協議会 代表理事 荻野 司氏が解説した。 text:柏木恵子
写真1:重要生活機器連携セキュリティ協議会代表理事 荻野 司氏

コロナで広がるリモートワーク CCDSの役割と社会の現状

 一般社団法人 重要生活機器セキュリティ協議会(以下、CCDS)は、2014年に設立された。主な事業は以下の4つである。

①生活機器の各分野におけるセキュリティに関する国内外の動向調査、内外諸団体との交流・協力
②生活機器の安全と安心を両立するセキュリティ技術の開発
③セキュリティ設計プロセスの開発や検証方法のガイドラインの開発、策定および国際標準化の推進
④生活機器の検証環境の整備・運用管理および検証事業、セキュリティに関する人材育成や広報・普及啓発活動等

 生活機器とは家電や自動車などのことだが、昨今はさまざまな製品に情報処理チップや通信チップが内蔵され、インターネットに接続されている。つまり、家の中や身の回りにはたくさんのIoT機器があるということだ。

 インターネットに接続されているということは、悪意のある攻撃者の標的になる可能性は排除できない。そこで、家電やホームゲートウェイ、自動車などにはどのようなセキュリティ対策が必要なのか、調査検討し、ガイドラインを策定しようというのが、CCDSの目的である。

図1:CCDSの目的

 さまざまなものが「つながる」IoTの世界が到来しつつある現在だが、キーワードとして取り上げられる機会が増えているのが、スマートハウスやスマートシティなどの「スマート××」である。

 例えば「スマートハウスというと、10年くらい前まではエネルギー管理の話がメインだった。ところが最近のスマートホームは、いろいろなセンサーが据え付けられて、電気をつけてと言えば電気がつくような、いろいろなことが行えるようになっている」と荻野氏は言う。さらに、地域の活性化や課題解決のためにIoTを実装し、官民共同サービスでオープンデータを利活用しようという、スマートシティやスーパーシティといった取り組みも始まっている。

 さて、家の中にIoT 機器が増えるという状況と併せて考えなければならないのが、コロナ禍の影響でリモートワークが増えているという点だ。「データセンター・イノベーション・フォーラム2020」もオンラインで開催されたが、Covid-19の感染拡大以降、自宅で仕事をする人が増えている。最近では、オンラインで仕事をするなら都市部でなくてもいいということで、地方のリゾート地などで仕事をするワーケーションなどという言葉も生まれている。

 テレワークやSOHOは推進されて久しいが、なかなか根づかなかった。それが強制的に進んだ。さらに、リモートワークをしていて身の回りのIoT機器の脆弱性から不正アクセスを受けるという危険性を考えると、「エッジのセキュリティは近年重要になってきたが、それがさらに加速した」と荻野氏は言う。

 また荻野氏は、「データセンターは新サービス創造の拠点になる」と考えている。JDCC(日本データセンター協会)では、データセンターの効用として、以下の3つを挙げている。

①情報セキュリティ
②企業経営改革・改善
③環境・エネルギー対策

 これらがデータセンターの効用であることは間違いないが、スマートシティやスーパーシティなどでは、さまざまなサービスがつながる。「データ連係やアプリ連携、そこにはセキュリティが伴い、まさに新サービスの創造の拠点というのがデータセンターの役割」だと、荻野氏は考えている。

家には攻撃可能な場所がたくさん スマートホームの脅威分析

 あらためて、IoTの世界を整理してみよう。荻野氏によれば、さまざまな「スマート××」は、センシング、ネットワーク、アウェアネスの3つの機能で成り立っている。

①センシング(Sensing)
 センサーが捉えるのは、主に以下のような情報だ。

環境:温湿度、気圧、焦土、音、ガス、煙
動き:移動、傾斜、落下
位置:存在、近接、通過
動態:人、物、動物などの検知

 例えばスマートホームでは、温湿度センサー、ネットワークカメラ、人感センサー、照度センサーなど、さまざまなセンサーがネットワーク接続される。「エアコンをつけて」と話しかけると音声をセンシングしてエアコンのスイッチを入れる、人が動くと照明がつくといったことが、既に身近で行われている。

②ネットワーク
 センサーとIoT機器の接続に活用される無線通信にはさまざまな規格が存在する。

近距離:数m ~1km 程度。Wi-Fi、Bluetooth、WiSUNはいずれも免許不要。Wi-FiやBluetoothは、人の周りのネットワークとして既に広く使われている。
遠距離:10km程度。LPWA(Low Power Wide Area、消費電力を抑えて遠距離通信を実現する通信方式)と呼ばれ、農業や地域サービスなどでの利用が期待されている。SIGFOXやLoRaWANは免許不要。

③アウェアネス
 この場合のアウェアネスは、人や物の判断や行動をサポートすること。物の行動管理や行動制御を、人が介在せずに行うという方向へ進んでいる。

 例えば、煙センサーや熱センサー、ネットワークカメラの情報を、インターネット越しのシステムに送ると、異常を判断し、ネットワーク接続されたコミュニケーションロボットが住人に「火事です」とお知らせするようなものがイメージされている。

 CCDSでは、これらの機能を内包したスマートホームの検証用モデルを、実際のマンションの中に構築した。例えば、人感センサーや赤外線リモコンを室内に配置し(図2)、人が入室すると電気がつき、いなくなると消すような部屋になっている。

 制御用ネットワークは、HEMS(Home Energy Management System、家庭で使うエネルギーを節約するための管理システム)でも赤外線でも可能なダブルコントロール(図3)。このモデルで、利便性の検証だけでなく、実際にアタックを行ってセキュリティ上のリスクがどこにあるかを検討し、機器や接続するサービスに求められるセキュリティ要件について、ガイドラインを策定した(図4)。

 ちなみに、現在知られている驚異として、複数のSSL VPN製品の脆弱性が報告されている(図5)。既にパッチが配布されている脆弱性でも、パッチが適用されていなかったために、外部から任意のコード実行やファイル取得が可能になるというインシデントも起きている。

図2:スマートハウス内のセンサー
図3:スマートホームのネットワーク
図4:スマートホームのシステム構成モデル
図5:テレワーク推進でセキュリティ意識はさらに重要に

スマートシティという世界観が求めるデータセンターのセキュリティ

 スマートシティ関連では、交通システムの高度化とスマート××(ホーム、ビル、パブリックスペース)で、1兆円近い経済規模があると言われている。

 総務省は、「スマートシティのセキュリティについて」(https://www.soumu.go.jp/main_content/000671002.pdf)という報告書を出しているが、その中で挙げているスマートシティの意義について、荻野氏はシンプルにまとめると以下の2点だと言う。

①行政サービスに必要な共通プラットフォーム
②データ収集・蓄積・分析・活用、ソフト重視の街づくり

 また、内閣府が発行している「スマートシティリファレンスアーキテクチャ ホワイトペーパー」(https://www8.cao.go.jp/cstp/stmain/20200318siparchitecture.html)の中では、スマートシティを持続的に運営するには、地域全体をマネジメントする「都市マネジメント」と、ITを担う「都市オペレーティングシステム(都市OS)」の両輪が重要だとされている。荻野氏は、「この都市OSもやはりデータの収集・蓄積・分析・活用」だと言う。

 都市OSについて、より具体的に描かれているのが、図7だ。オープンAPIによって、さまざまな機能(サービス)が連携され、認証が行われる。セキュリティは、機器や中継器についてはメーカーが、サービスについてはサービス事業者が、データを蓄積する部分についてはデータセンターやセキュリティサービス事業者がというように、区分けされ役割分担が明確になってくるだろう。荻野氏は、特に都市OSでは認証とログの管理が重要だと言う。

図6:都市OSの特徴とスマートシティリファレンスアーキテクチャの関係
図7:都市OSの詳細

 スマートシティやスーパーシティとは、行政機能や都市機能などを、ITを活用したサービスとして住民に提供するという世界観だ(図8)。個々のサービスが連携すること、データが各サービス間を流通することが不可欠で、そのためのデータ連係基盤が必要となる。それを支えるのがデータセンターということだ。

 このデータ連係基盤には、オープンAPIでさまざまなサービス(SaaS等のクラウド型サービスを含む)や、事業者が持つデータがつながる。このサービス連携やデータ連係に必要なセキュリティ要件が、認証と信頼性(暗号化や不正検知、ログ管理、インシデント管理による安全性の保証)ということになる。サービスやデータを提供するための場所として、データセンターにもそれが求められる。

図8:データ連係基盤の構成が決め手

スマートシティに向けたCCDSの活動

 最後に荻野氏は、CCDSのTrusted Data連携WGによるスマートシティに向けた活動について紹介した。同ワーキンググループでは、総務省が出しているガイドラインよりも機器寄りのガイドラインの策定を進めている。また、他WGにおいては、コロナ禍中の1年間にも、以下の5つのガイドラインを発行している。

  • 「IoT機器セキュリティ実装ガイドライン~ソフトウェア更新機能~第1.0版」
  • 「IoT分野共通セキュリティ要件ガイドライン2021年版」
  • 「自動預け払い機関連システムにおける物理・サイバー攻撃の対策検討ポイント」
  • 「IoT分野共通セキュリティ要件ガイドライン2019年度版11要件における解説編」
  • 「スマートホームガイドライン1. 0版」

 また、CCDSはIoTセキュリティガイドラインを積極的に作ってきたが、前半は主に機器に対するガイドライン、2019年から2020年にかけては認証制度を進めている。今後は、保険制度の導入も考えているという。

図9:CCDS IoTセキュリティガイドライン整備状況