IoTのセキュリティの原則「Secure First、then Connect」とは?

IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステムズ株式会社) > IoTのセキュリティの原則「Secure First、then Connect」とは?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

IoTのセキュリティの原則「Secure First、then Connect」とは?

エンドポイントセキュリティ 2017/02/28


 「Automotive World 2017」1月18日〜20日までの3日間、東ビッグサイトで開催された。「カーエレクトロニクス技術展(CAR-ELE JAPAN)」「EV・HEV駆動システム技術展(EV JAPAN)」クルマの軽量化技術展(Weight Reduction Expo)」「コネクティッド・カーEXPO(Connected Car JAPAN)」「自動車部品/加工EXPO(カーメカJAPAN)」といった5つの分野の技術展が開かれ、961社が参加した大規模イベントだ。

 今回も多くの技術開発の進化を見ることができた。素材に関しては軽量化研究開発のレベルがかなり円熟していたし、車体だけでなく、各種部品の軽量化の試みも目覚ましい発展をとげており、技術者のこれまでの研究、開発努力に拍手を送らざるをえない状況であった。

 その中でも最も大きな変化があったのは、やはりITだった。何だかちょっと縁の遠いもののように感じていた「コネクティッド・カー(Connected Car)」という言葉も今は身近になってきた。現在生産されている自動車一台に入るプログラミングコードは、私たちがよく使っているPC運営体制(OS、Operating System)のコードよりはるかに多く、またそれはどんどん多くなっている。自動車はもはや完全なITデバイスといっていいだろう。「コネクティッド・カー」とは、そのITデバイスがお互いにつながり、そしてインフラとつながる。これはもう未来のことではない。 

 他にも面白いと思ったのは、今までのイベントに比べて、来場者が質問を活発にしていたことだ。出展者側が客引きを派手に行う様子より、来場者が自発的にブースを訪れて質問している様子がとても多く見られた。自動車への高い関心がうかがえる。そこで今回は、3つの質問とそれに対する答えを通じて、自動車セキュリティ、ひいてはIoTセキュリティ最も根本的で源泉的な疑問を解消してみよう。

Q1:自動車セキュリティは、既存のITセキュリティと何が点が違うのか?


 自動車セキュリティは「IoT(Internet of Things)セキュリティ」の一部であるため、既存のITセキュリティとは異なる観点で考えなくてはならない。自動車セキュリティは、IoTセキュリティの脈絡と見なければならない。しかし大きな概念でいうとIoTもITの一部であるため、ここでは分かり易くIoTの反対概念として、既存のインターネット使用を「IoM(Internet of Man)」と呼ぶことにしよう。

 IoTとIoMの決定的な違いは、人が介在するか、しないかの違いである。人がコンピュータを使う際、動作の土台となるのはユーザーの自律性である。コンピュータは高い計算能力を提供し、人はそれを活用することで自分がしたい作業を自由に遂行する。したがって、コンピュータは「一般目的(General Purpose)」を達成するための道具である。

 例えばインターネットでいうと、多くの人はインターネットを使うとき、それぞれ異なる目的を達成するために使っている。インターネットサービス事業者側もそれらのさまざま目的に合致するよう、制限を極力もたせない形に作っている。インターネットサービス事業者が最も重要視するのは「接続性(Connectivity)」だ。インターネットサービスを成功させるためには、できるだけ多くの人が利用できる環境をつくることが重要だからだ。そのためIoM環境は、一般的に機能の制限がほとんどないように設計されている。

 しかし、インターネットサービスの中にはユーザー認証などを必要する事業もある。電子商取引システムを利用するようなサービスだ。個人情報やカード情報を取り扱うことになるため、ここで、各種のセキュリティ措置が必要不可欠となってくる。

 一方、IoTに話を戻してみよう。IoMとIoTの最も大きな違いは、インターネットに接続するのが人ではなく、モノという点だ。人は前述した「一般目的」を達成するためにITを利用するが、モノは「特殊目的(Special Purpose)」を達成するためにITを利用する。ここでいう特殊目的とは、人が指令しなくても目的を達成するといために動作するといった、あらかじめ定められたもののことだ。

 しかし、モノが誤作動(その仕事以外の動作)すると危険なので、あらかじめ付与された特殊な目的にだけ忠実に動作するよう設計しなければならない。誤動作すれば、人の安全を脅かしたり、モノ間の電子商取引が実用化されれば「私の車がエンジンオイルではなく、洗濯洗剤を10個も買ってきてしまった」とったような非常に荒唐無稽なことが起こったりする可能性もある。

 誤作動が起こらないよう、モノをインターネットに接続するときは事前に完全なセキュリティ対策を施さなくてはならない。これが、IoTセキュリティ原則「Secure First, then Connect(まずセキュリティ対策を、その次に接続を)」の意味だ。

 IoMのセキュリティと比べ些細な違いに見えるが、とても重要な違いがある。IoMは「Connect First then Secure(先に接続を、次にセキュリティ対策を)」方式だが、IoTは「Secure First, then Connect」だ。この順序を守って設計することが必須となってくる。

 これは、モノの接続とその接続を通じて収集した情報をもとにサービスを提供するのがIoTの当初の目的であったためでもある。モノをあえてインターネットにつなぐ理由が何か。冷蔵庫のドアに付いているスクリーンでインターネットをするため? 違う。モノをインターネットに接続して、これを通じて収集したデータをサーバが受けて分析し、このようなデータマイニング作業を通じて抽出した有意義な情報をサービスで提供するためである。このとき、モノによって収集され、サーバに送られたデータが脅威に侵されてはならないのだ。

 間違った情報をもとにしたサービスは危険にさらされかねない。そのためにモノはインターネットとの連結に先立ち、完全なセキュリティをまず備えなければならないのだ。

Q2:IoTセキュリティにロジカル方式を適用しなければならない理由とは?


 従来のIoM環境のコンピュータとインターネットは、その使用目的が一般的であるため汎用(Versatile)で設計される。道具を使って、どんな仕事をするかを人が決定するため、ユーザーがどんな仕事もできるようにとても一般的に作られる。したがって、十分な一般性と十分な接続性を確保するためにリスクが高くても開放された構造を選ぶしかない。全ての電算システムは、「アプリケーション/システム/ネットワーク」という3つの階層で構成されるが、一般性と接続性の確保のためにその階層はお互いに分離されなければならず、セキュリティ措置も3階層にそれぞれ適用しなければならなかった。それでセキュリティ分野を分類する時、「ネットワークセキュリティ」「システムセキュリティ」「アプリケーションセキュリティ」のように分けているのだ。

 しかし、IoTセキュリティは最初から「特殊目的」だけに充実するように作られた道具のセキュリティだ。つまり、上の3階層を別途で設計し、組み合わせてそれぞれ別途のセキュリティ措置を取る従来の方式ではなく、3階層全体を単一の道具として設計しなければならない。つまり、ネットワーク/システム/アプリケーションセキュリティをお互い違う分野に分けて考えるのではなく、1つの「IoTデバイス」に対する総体的セキュリティとして理解しなければならないのだ。  

 IoMセキュリティとIoTセキュリティ、異なる2つの概念の違いを正確に理解しなければ、IoT環境に対してIoMセキュリティ方法論をそのまま適用するといったミスを犯すようになる。一体どんなミスが想定されるのだろうか。次に例を挙げてみよう。

 ある自動車メーカーがインターネットにつながる自動車を作る。その際セキュリティ危険性検査をセキュリティ会社に依頼する。セキュリティ会社は、従来のIoMセキュリティ方法論により、各種脆弱性テストをし、報告書を提出する。自動車メーカーはその報告書によって、脆弱性を防ぐためのセキュリティパッチを追加して、新たな脅威が現れるまでは「暫定的に安全だ」と判断する。これが現在一般的に行う自動車セキュリティ措置だ。しかし、これはそもそも間違っている。自動車、ひいてはIoTセキュリティは、そもそも脆弱性というのがあってはならない。
 
 前に述べたように、インターネットにつながるモノは最初から特殊な目的だけに充実するように設計されなければならない。そのため、ロジカル方式がシグネチャ方式より優秀であったり、効率的であるため、もっと適合しているわけではなく、最初のIoTセキュリティは、ロジカル方式でなければならないのだ。そして、その「ロジック」は、当該「IoTデバイス」に対する総体的なセキュリティの一部として動作しなければならない。

Q3:自動車自体のセキュリティと交通インフラのセキュリティ、どちらが重要なのか


 この問いに対する答もまたQ1で調べた「Secure First, then Connect(まずセキュリティ対策を、その次に接続を)」原則によるIoTセキュリティの特殊性の問題だ。

 IoM環境ではユーザーがインターネットサービスを利用する中で身元認証が必要な際、ユーザー認証などのセキュリティ措置をとる。これは、個人のプライバシーを保護するために個人情報が露出する部分だけ選択的・集中的にセキュリティを強化できるということだ。しかし、IoT環境ではIoT環境だけの特殊なセキュリティ措置の必要が発生する。

 「Secure First, then Connect(まずセキュリティ対策を、その次に接続を)」の通り、モノがインターネットに接続する前に完全な認証手続きが発生するため、認証手続きやセキュリティ対策を施さなければ、そのモノを使用するユーザーのプライバシーが常に露出される危険がある。自動車を例として挙げれば、車両の位置や、運転者の位置が常に露わになるといったことだ。さらに、自動車は単独で存在するのではなく、公共施設の交通インフラと直接連結するためにPKI(Public Key Infrastructure)など公的認証手続きを経なければならないため、プライバシー問題はより深刻になる。そのため、自動車自体のセキュリティと交通インフラのセキュリティはどれがもっと重要なのかを追及すべきことではなく、自動車とインフラは概念上、同等の重要度を持ったまま総体的なセキュリティを達成するように安全に設計されなければならない。

先セキュリティ、後の連結(Secure First, then Connect)原則


 Q1からQ3までの内容をまとめると、結局全てがIoTセキュリティの原則「Secure First, then Connect」に帰結する。これは、IoM時代からIoT時代に移る過程で発生するセキュリティパラダイムの変化だ。複雑な話ではない。

モノをインターネットに接続する前に、必ずセキュリティ対策を施さなくてはならない

この順序が前後すると、大変な事態を引き起こすことになるだろう。

※本コラムの著作権は、データベース暗号化・Webセキュリティ専門企業「ペンタセキュリティシステムズ」にあります。

※ ペンタセキュリティシステムズの製品およびソリューション

-Webアプリケーションファイアウォール(WAF)製品一覧
-データベース暗号化ソリューション一覧
-自動車セキュリティ(コネクティッドカーセキュリティ)ソリューション
-クラウド基盤のWebハッキング遮断サービス「Cloudbric」のホームページへ

※本コラムの過去記事や関連情報はこちら:http://news.mynavi.jp/enterprise/pentasecurity/

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009497


IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステムズ株式会社) > IoTのセキュリティの原則「Secure First、then Connect」とは?

このページの先頭へ

キーマンズネットとは
1999年ペンタセキュリティシステムズに入社し、17年間データ暗号化ソリューション、Webアプリケーションファイアウォールなどの製品に手掛け、セキュリティ技術研究所の所長を歴任。2011からはCTOとして新技術・新製品企画などを担当している。

ページトップへ