筆者は最近、IoT(インターネット・オブ・シングズ)をテーマとした日経コンピュータの特集に、執筆チームの1人として関わった。この特集は様々な業界で進むIoTの活用事例を101個紹介する企画で、今まで記者として担当したテーマの中では一番幅広い業種をカバーしている。指先に乗るような小さなIoT機器から家電製品、自動車、工場、クラウド、果ては人工衛星まで、あらゆる業界が対象となった。

 この特集でテーマの一つとなったのが、IoT機器を狙うサイバー攻撃の脅威だ。あらゆるモノがインターネットにつながるIoT時代には、セキュリティ対策は避けて通れない。

 IoT機器はプロセッサやメモリー性能に制約のあるものが多く、PC用セキュリティソフトなど従来のセキュリティ対策を適用するのが難しい。インターネットとつながる機器の数も急増し、2020年には数百億台に達するという予測もある。人が主体だった従来とは異なり、モノ(IoT機器)が自動でインターネットにアクセスして情報をやり取りするようになれば、機器の管理が十分に行き届かなる恐れがある。

 今後、IoTが普及すればするほど、サイバー攻撃の被害が深刻化することが予測される。既に2016年末ごろからIoT機器を対象としたマルウエア「Mirai」の被害が急増し、IoTに対するサイバー攻撃の脅威が現実のものになっている。複数のセキュリティベンダーが、IoT機器の開発者や管理者に機器の脆弱性をなくすよう対策を呼びかけた。

IoTセキュリティの課題はガイドラインの曖昧さ

 だが、IoTセキュリティをいざ実行するうえで、大きな課題が一つある。具体的にどのような対策を講じればよいか、基準やガイドラインが確立していない点だ。

 「IoTではこれまでのセキュリティ対策と違い、業界業種によって求められるセキュリティレベルが異なる。製品ごとのライフサイクルもバラバラで、最適なセキュリティ基準を設定しづらい」。NRIセキュアテクノロジーズ ストラテジーコンサルティング部の山口雅史 上級セキュリティコンサルタントは、IoTセキュリティの課題をこのように指摘する。

 IoTは家電製品から自動車、工場内、電力・ガス・水道といったあらゆる業界をまたぐため、よりどころにするガイドラインを設定しづらいのだ。