1. HOME
  2. 特集
  3. デジタルプライバシー
  4. プライバシーを差し出すか否か IoT機器のユーザーに求められる対策とは

プライバシーを差し出すか否か IoT機器のユーザーに求められる対策とは

World Now
家電見本市でも、ここ数年はIoTが主役だ=2016年10月、シーテックで
家電見本市でも、ここ数年はIoTが主役だ=2016年10月、シーテックで

IoT機器のメーカー向けに、最低限必要なセキュリティ対策などを示している「重要生活機器連携セキュリティ協議会」(CCDS)の伊藤公祐・専務理事は「『これだから安全』と言える状況にはない。メーカーにも、ユーザーにも、さらに安全性を意識してもらう取り組みが必要です」と言う。

政府も動き始めている。総務省は、IoT機器が大量に乗っ取られてサイバー攻撃に使われるといった事態を避けるため、無防備な機器についての実態調査を始めたほか、安全性の高い機器を認証する制度づくりの検討も始めた。

ただ、制度ができても、ユーザーがまったくセキュリティを意識しないままでは、安全性を維持するのは難しい。朝日新聞GLOBEの特集「デジタルプライバシー」でも、パスワードを設定しなかったために、防犯カメラの映像が外部から見ることができるようになっていたデイケアセンターの例を紹介した。

伊藤さんは、ユーザー側にまず求められているのは、IoT機器の初期パスワードの変更と、それを制御するソフトの更新だという。

家庭のIoT機器は、やられたい放題?

 ――家電や自動車など、生活に入ってくるIoT機器のセキュリティ問題にいち早く取り組んでおられます。

私たちは2013年から活動を初め、協議会を設立したのは2014年です。

ITシステムのセキュリティでは、まず重要なインフラの安全性に注目が集まりました。

大きな契機は2009年から2010年にかけて、「スタックスネット」と呼ばれるマルウェア(コンピューターを攻撃するウイルスなどのソフト)が、イランの核施設を攻撃したことです。国の重要なインフラが、サイバー攻撃の対象になりかねないことが、はっきりしました。

このことはもちろん重要ですが、こうしたインフラには通常、施設の動きを監視している運用者や管理者がいます。

一方、家庭にあるIoT機器は、導入された後は、所有者であるユーザー自身が機器の管理をしなければなりません。さらにユーザーが、インフラの管理者のように自ら身を守るかというと、そうは考えられません。このままでは無管理の機器がどんどん増え、攻撃者にとっては、やりたい放題の状況になるのではないかという危機感がありました。

――実際にこの23年で、IoT機器は一気に広がりを見せています。

いま、ハード側がどんどん使いやすくなっています。人々はほぼ無意識に、ブルートゥースにつながったり、WiFiにつながったりしています。これは、その端末がネットワークにつながっているということですが、ユーザーは、あまり意識していないと思います。逆に言えば、それぐらい使いやすくなったことで、一般ユーザーも使い始めました。ただ、その危険性がきちんと理解されているかというと、そうでもないでしょう。

――今回の取材でも、パスワードをまったく設定していないWEBカメラなどが大量にありました。

公のネットワークにつながる機器に適切な強度のパスワードを設定するのは、最も基本的な安全対策です。さらに、パスワードを初期設定から変えることも重要です。初期設定のパスワードというのは、たとえば3ケタの数字の南京錠のようなものです。一つずつ数字を当てはめていっていずれ開いてしまいます。

――しかし、IoT機器の鍵を開けられたとして、どんな危険があると考えればいいでしょうか。

たとえばWEBカメラであれば、映像を盗み見るということがあるかもしれません。

端末を乗っ取って何か悪いことに使うかもしれません。エアコン等を外からオフにされたりすると困りますよね。

残念なことではありますが、悪い人は、ネットワーク上のすぐ隣にいるということを理解しておく必要があると思います。

さらに重要なことですが、こうしたセキュリティの甘い機器が、大規模なサイバー攻撃の踏み台になってしまうという問題もあります。

すでに、無防備なIoT機器を探しているプログラムは数多くあります。たとえば「Shodan」という検索サイトなどは、ネットにつながった無防備な機器を探し、Googleのように検索できる情報サイトです。攻撃者にとっては攻撃対象となり、そこにウイルスを潜り込ませるプログラムも出てきています。

――大量のIoT機器を乗っ取って、標的企業のシステムへの一斉攻撃に使うMIRAIというソフトも問題になりました。

MIRAIの場合は、よくあるパターンのパスワードをある程度覚えていて、それを軒並みぶつけて鍵を開けて入るようなつくりです。ほとんどの場合、ユーザーは自分の機器が乗っ取られていることすら気づかないと思います。でも、これが社会的にも大きな影響を与えることになりかねません。

考えてみて頂きたいのは、車などの場合、安全を維持するためにメーカー側からも、ユーザー側からも様々な取り組みがされているということです。メーカー側は安全装備を開発していますし、安全試験もあります。一方で、ユーザー側も交通ルールを学び、それを守ることが求められています。同じようなしくみが、IoT機器にも必要だと思うのです。

IoTのセキュリティが、人命を左右する

デジタルプライバシー_IoT_2
伊藤公祐さん

――機器のメーカーは、セキュリティをあまり考えていなかったのでしょうか?

セキュリティを考えることは、ソフト開発を専門とするエンジニアには当たり前のことです。しかし、ハードウェア、機器ををつくっているメーカーにとって当たり前だったかというと、長い間、そうでもなかったと言えるのではないでしょうか。

私たちが協議会を設立したのが2014年ですが、IoT機器についてはまだ国際的なセキュリティの基準もありませんでしたし、メーカーからすれば、どの程度セキュリティを考えなければいけないか、という指標も少なかったのです。

ただ、ここ数年で日本でもIoT機器のセキュリティを高めなくてはいけない、という意識は高まっていると思います。

その理由のひとつは、IoTが人命に関わる問題になってきたということです。外部から操作されると深刻な問題を引き起こす可能性が高い機器がでてきています。医療機器もそうですし、車もそうです。さらに、ロボットでも介護に使われるものがでてきています。これらを外部から直接操作されれば、大変なことになります。

もうひとつは、お金に直結する問題が出てきたということです。ATMなどのネットワークもそうです。POS端末もタブレット型となりネットワーク利用が前提の機器構成となってきており、金庫部分が分離され、専用機時代と違ったセキュリティ確保が求められています。

――IoT機器の乗っ取りが深刻な被害をもたらしかねない、ということですね。

たとえば2015年には、米国メーカーの自動車に、外部から乗っ取られる危険があることが分かりました。ネットに接続する機能を持った車でしたが、実は、問題があったのは自動車そのものというより、その外側の通信ネットワークでした。

しかし、自動車メーカーが提供していたサービスだったことから、メーカーはプログラムの修正などの対応を迫られました。車にそうした機能を備え、サービスを提供している以上、「通信の安全性は、車の外の話」とは言っていられなくなったのです。

――メーカー向けには、ガイドラインの整備なども進んできました。

私たちCCDSも、まず第一歩として、「これだけは守ったほうがいい」というガイドラインの整備を進めてきました。メーカー側で実行可能な、最低限必要なセキュリティ対策を盛り込んでいます。これは第一歩です。

さらにいま、世界中でガイドラインの整備が進んでいます。特に議論が進んでいるのは自動車分野で、欧州と米国が規制のすりあわせを始めていると聞きます。日本もきちんとこの議論についていかなければいけません。

――ユーザーは、どう考えればいいのでしょうか。

先ほども申し上げましたが、パスワードを設定することや、IoT機器を制御するソフトを最新版にアップデートすることは、最低限必要な対策だと知っておいてほしいと思います。ただ、セキュリティの世界では「ここまでやっておいた方がいいですよ」とは言えますが、「ここまでやったから大丈夫です」とは言いにくいのが正直なところです。

――政府は、セキュリティが高い機器を認証して、そちらを買ってもらうようなしくみを考えているようですが。

メーカーからすると、もし、こうした認証制度ができて、ユーザーがそちらを選んでくれるとか、少し高くても買ってくれるというようなことになれば、セキュリティに投資する意味が出てきます。セキュリティの高い製品を、他の製品と差別化する意味でも、なんらかのステータスを与えるやり方は意味があると思います。

さらに、認証制度があれば、メーカー側もセキュリティに対してどういう対応を取っていたかを説明しやすい、というメリットもあります。問題が起きた時に「ここまで、セキュリティの対応はしていた」と説明できます。

――では、そういう認証された機器を買えばいい、とはなりませんか?

はい。そう言いたいところですが、「大丈夫」と言いきるのは難しいところです。認証マークを取得するための要件は、すべてのセキュリティリスクに備えたものにはならないと思います。要件にはない脆弱性は残っているかもしれません。でも、認証も取得していない、何もセキュリティを考えていない機器よりは安心できるでしょう。

また、安全性を高めるためにいくつも防御策を講じると、使いにくいものになってしまう可能性があります。はたしてそれをユーザーが気に入って使ってもらえるのか。そして、複数の防御対策のおかげで高価になった場合も、そもそも買ってもらえるのか、ということになります。市場で100円で売られている製品に、500円のセキュリティ対策をするのは、難しい。バランスが、非常に重要になります。

もうひとつ大きな問題は、セキュリティのために「石橋を叩いて渡らない」ということになってはいけない、ということです。チャレンジには常にリスクがあります。考えられるリスクはもちろん取り除いておかないといけませんが、リスクをゼロにしないと何もできない、というのでは、新しい製品が生まれません。

その意味でも、メーカーの意識とユーザーの意識、それぞれを高めていく議論が必要だと思っています。