IoT社会の実現に向け、世界中で様々な取り組みが進んでいる。実現すれば、我々の生活はより便利になることが期待されるが、その一方でPCに比べ低スペックのIoT機器には十分なセキュリティ対策を施すことが難しく、サイバー攻撃者にとって恰好のターゲットとなっている。では今後来るべきIoT社会において、増え続けるIoT機器のセキュリティをどのように担保していけばいいのか。その解決策を探った。

ネットに繋がったことでIoT機器の“見えなかった脅威”が浮き彫りに

米IHS Technology社の推定では、企業の製造設備や街中の監視カメラなどインターネットに繋がるIoT機器の数は、2020年に約300億個に達し、2017年の1.5倍に拡大する見通しだという。IoT機器の増加とともに問題視され始めるのが、IoT機器に対するサイバー攻撃である。実は10年以上も前から存在していたが、当時はインターネットに繋がるIoT機器も少なく、個々のIoT機器がピンポイントで狙われるだけだった。被害を認識するのも当事者だけだ。

世界のIoTデバイス数の推移及び予測(総務省の「平成28年版 情報通信白書 インターネットに接続する様々なモノの拡大」より作成)

今は多種多様な機器やセンサーがインターネットに繋がるようになった。1か所の被害が瞬く間に拡散していく状況だ。それを象徴するのが、2016年8月に発見されたIoT機器を狙うマルウェア「Mirai」による被害で、個人宅のWebカメラなどが知らないうちに攻撃者に乗っ取られ、DDoS攻撃の踏み台にされていた。IoT機器のセキュリティリスクは今後もさらに高まり、決して減ることはない。

IoT機器をPCに見せかけて、ITセキュリティのエコシステムの中で防御する

そこで求められるのが、強固なセキュリティ対策だ。しかしそれは簡単には実現できない。PCに比べてCPUの処理能力が低く、高度なOSを搭載することもできないIoT機器には、例えばPCと同等レベルの暗号・認証機能をインストールすることもできないからだ。

パナソニック株式会社
コネクティッドソリューションズ社
イノベーションセンター
IoTサイバーセキュリティ事業推進室 室長 
松尾 正克氏

こうしたIoT機器のセキュリティ課題を解決するために、IT機器と同等レベルのサイバーセキュリティ対策を実現可能にするサービスが、パナソニックやPwCコンサルティング合同会社を始めとする複数企業の連携によって提供されている。それが「IT/IoTトータルサイバーセキュリティーサービス」だ。

具体的にはコンサルティング、IoTセキュリティ対策、ITセキュリティ対策、サイバーリスク保険の各サービスを統合的に提供するもので、このサービス実現を主導したパナソニック株式会社の松尾正克氏は「いわばIoT機器をセキュリティ的に“PCのように見せかける”ことで、ITセキュリティのエコシステムの中で、IoT機器をPCのように扱えるようにするものです」と説明する。

コンサルティングを組み込んで、企業の悩みや不安を払拭する

IoT機器のセキュリティ対策に注目が集まり始めたのは、ここ1~2年のことだ。テクノロジー以前に、IoT機器メーカーやIoT機器を企業活動の中で利用するユーザ企業は、そもそもIoT機器のセキュリティ対策として何から着手すればいいのか分からないというのが実情だろう。

そこでIT/IoTトータルサイバーセキュリティーサービスの中で重要な役割を果たすのが、サイバーセキュリティに関するコンサルティングをトータルに提供するPwCコンサルティング合同会社である。同社の外村慶氏は、まずIoTセキュリティの重要性について、次のように説明する。

PwCコンサルティング合同会社
サイバーセキュリティ&プライバシー
パートナー
外村 慶氏

「セキュリティの問題は、突き詰めればリスクマネジメントの話に帰着します。リスクが大きければ大きいほど、セキュリティを担保するためには多くの工数が必要です。ではそのリスクの大きさは何で決まるのか。判断基準となるのは“そのリスクを取ることで、どれぐらい大きなビジネスができるのか”ということです。そしてIoTは言うまでもなく、これからの企業のビジネスを劇的に大きくしていくことができる。この点において、IoTセキュリティはもはや無視することはできません」(外村氏)。

そして外村氏は、IT/IoTトータルサイバーセキュリティーサービスにおける自社の役割として、2つの姿を提示する。まず1つが、サイバーセキュリティにおけるリスクマネジメントの在り方を総合的にアドバイスするコンサルタントとしての役割、そしてもう1つが、サイバーテクノロジーのスペシャリストとしての役割だ。特に後者について、同社は全世界で約3600名のスペシャリストが所属するテクノロジーコンサルティングのサイバーチームを保有しており、外村氏自身もこのチームに所属する。

「IoTの現状を俯瞰した時、エレベーターなど実は以前からネットに繋がっている設備がある一方、家電など今後新たに繋がっていくものもあります。非常に古い世界とこれから来る新しい世界への対応を同時に考えなければならないということです。その際にはIoTの世界とITの世界をマージしていくことも重要な取り組み課題となります。しかしいつ、どのタイミングで、どんな手順を踏み、どんなセキュリティ対策やテクノロジーを採用していけばいいのか、明確なビジョンを描くことができている企業は、ほとんどないでしょう。さらには運用フェーズでどんな課題があるのかも未知数です。その際にはまず我々のコンサルタントとしての知見やノウハウを、是非ご活用していただきたいと思います」(外村氏)。

損害保険でより安心感を高める

そしてもう1つ、このIT/IoTトータルサイバーセキュリティーサービスの特筆すべきポイントが、東京海上日動火災保険株式会社によってサイバーリスク保険が標準で提供されていることだ。リスクマネジメントの観点から見た時、今後さらに様々な模索が必要となるIoTに取り組む企業にとって、これは非常に大きな安心感に繋がる要素だと言える。