特別企画

IoTのハッキングで自動運転車事故の可能性も――、IoTセキュリティの強化を呼びかけるnCipher

 IoTの普及速度は著しく、スマートフォンやスマート家電といった消費者向けのデバイスから、製造工場などで使われる製品管理用のセンサーまで、IoTコネクテッドデバイスの活用範囲は広がる一方だ。IoTデバイスの数は2025年までに416億個に達し、そこから生成されるデータの量は79.4ゼタバイトにのぼるというIDCの予測もある。こうした中、英nCipher SecurityではIoTデバイスの脆弱性に懸念を示している。

 nCipher Security アジアパシフィック地域シニアプロダクトアンドフィールドマーケティングマネージャーのシンドウジロウ氏は、「IoTデバイスは一般消費者にも普及し、IoT関連ビジネスに注力する企業も多い。ただ、そのデバイスをいかにして安全に保護するかまでは理解されていない」と話す。

nCipher Security アジアパシフィック地域 シニアプロダクトアンドフィールドマーケティングマネージャー シンドウジロウ氏

PKIでセキュリティ対策を

 シンドウ氏がIoTのセキュリティ対策に有効な手段のひとつとして挙げるのがPKIだ。PKIは、金融機関や政府・公共機関はもちろん、クレジットカード決済などで重要な顧客情報を扱うホスピタリティ業界での導入が特に進んでいるという。

 「こうした業界は、すでにPKIの導入がビジネスの成長につながるとの見解を持っている。そのためPKIの導入にも積極的だ」とシンドウ氏は語る。

 IoTにおいてもPKIの導入率は高まってきている。IoTではさまざまなデータを収集しており、ハッキングされると個人データの漏えいはもちろん、多大なリスクが存在するためだ。

 「自宅のスマート家電がハッキングされても大きな影響はないかもしれないが、例えば自動運転車がハッキングされると、高速道路を走行中に突然ブレーキがかかって事故に発展する可能性もある。実際にこうした事故は起こり得ること。企業はIoTの脅威に対抗すべきセキュリティの重要度に気づいていない」とシンドウ氏は警告する。

 nCipher Securityが公表した「2019年グローバルPKIおよびIoTトレンド調査」では、IoTによってPKIの利用が拡大していることが明らかになっている。こうした傾向はあるものの、それでも「企業はPKIのベストプラクティスを把握しきれていない」とシンドウ氏。ベストプラクティスが浸透していない状態はここ数年変わっておらず、脆弱性も残ったままだと、シンドウ氏は述べている。

 「PKIがなければ、ソフトウェアをアップグレードする際に悪意を持った人が不正なコードを埋め込むことが可能になってしまう。いわば、パスワードや指紋認証などの機能が全くないスマートフォンのような状態で、誰もがアクセスできるのと同じこと。全くセキュリティ対策が施されていないスマートフォンを使いたい人などいない」(シンドウ氏)。

 企業もPKIが重要な役割を果たすことは理解しているものの、セキュリティ対策としてその優先度はいまだ高くはないのが現状だ。それは、セキュリティに対するスキル不足やリソース不足が主な要因となっている。

 シンドウ氏は「PKIはシートベルトのようなもの」と述べており、事故が起こらない限りその重要性が見過ごされがちな現状を嘆いた。

セキュリティ対策を怠る企業の行く末

 事故が起こらない状態が、必ずしも安全とは言い切れない。適切なセキュリティ対策を施していなければ、事故が起こった場合の被害は大きくなる。だからこそシンドウ氏の言うようにシートベルトを締めておかなくてはならないのだ。

 同氏は、2011年にオランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた事件を例に出し、「DigiNotarは1998年に創業し、12年間かけて政府の証明書を発行するなど信頼を獲得してきたにも関わらず、あの事件で一夜にして信頼を失った」と話す。DigiNotarは事件が発覚した数カ月後、倒産という結末を迎えている。

 また、日本で今年7月に起こった株式会社セブン・ペイによるバーコード決済サービス「7pay」の不正アクセス事件も記憶に新しい。シンドウ氏は、「ユーザー認証に正しいセキュリティ対策を施していなかったため、あっという間にハッキングされてしまった。信頼を完全に失い、サービスはすぐに終了した」と同事件を振り返り、事前のセキュリティ対策が重要であることを強調した。

 シンドウ氏は、「セキュリティはトップダウンで実装しなくてはならない。そのため、PKIも単なる技術だけでなく、プロセスと人とテクノロジを組み合わせて検討すべきだ」と話す。また、PKIの重要性を理解する企業は増えてきていることから、「現在ファイアウォールを導入していない企業が存在しないのと同様、PKIもすべての企業が導入するようになるだろう」としている。