IoT普及により重要度が増すセキュリティを考えよう
2月1日から3月18日は、政府が定めるサイバーセキュリティ月間。最近ではあらゆるモノがインターネットにつながるIoTが普及したことで、セキュリティの重要性はますます高まっている。
注目されるIoTのセキュリティの肝を、全6回に分けて解説していく。
IoTの歴史
IoTとは、「Internet of Things」の略称であり、2012年頃から人々の口に上り始めた言葉である。言葉としての起源は、1999年に、P&GのKevin Ashton氏が、「RFIDができた以上は、さまざまなモノにIDが付けられてインターネットに接続されるであろう」と予言したことにあると言われる。その後、RFIDの普及は進んだが、すべてのモノにRFIDが付く事態には至らなかった。しかし、それに代わってウェアラブル機器、監視カメラ、家電、車載エレクトロニクスなど多くのデバイスが、インターネットに接続されるようになった。過去には、機械が「電子化」されるという動きがあったが、IoTはさらに進んで「インターネット化」される動きである。電子化によって、機器は小型化されつつ精密な動作を行うようになったが、インターネット化することで、そこでのセンサー情報や使用履歴がセンターに集積され、また機器を遠隔制御することが可能になる。
IoTと類似の概念やビジョンは、コンピュータの発明以来、幾度となく唱えられてきた。中でも、1990年頃に登場したユビキタスコンピューティングという概念は、ユビキタスという風変わりな言葉とともにまさにユビキタス(至る所に遍く存在する)となった。当時は計算機室にあるコンピュータではなく、エンジニアの傍らでワークステーションが使われる時代であったが、コンピュータは、もっと小さく、生活や風景に溶け込む存在になって、どこにでもコンピュータがあるという時代になることを予言した。サービスが社会の隅々まで浸透する姿から、ユビキタスに代わって、pervasive computingという言葉が使われることもあった。
日本の総務省は、これにあやかって、ユビキタスネットワークという言葉を編み出した。どこに行っても、(コンピュータではなく)ネットワーク接続が得られるという意味である。このネットワークとは、今ではインターネットと言いたいところだが、当時は、多くの人がパソコン通信を思い浮かべたかも知れない。パソコン通信とは、音声電話回線にモデムを使ってデジタルデータを載せ、プロバイダにあるサーバーにつないで、ブレティンボード(掲示板)にさまざまな情報を書き込むサービスであった。
音声電話回線にデジタルデータを載せたというのは、1,0のデジタルデータを音声で表現したことを意味する。1973年に使用が始まったファクシミリは、ピーヒョロヒョロという音響信号にデジタル化した画像データを載せていた。しかし、その後1990年代にはすでに、電話回線は、音声をデジタル化して伝送していた。
コンピュータがどんどん増え、ネットワークが広がっていくことは容易に想像できた。ネットワークはまず、大学、研究機関、そして企業の中のLAN(Local Area Network)として敷設された。米国では、軍が運用するARPANETが研究機関のLANを接続し、インターネットの起源ができていた。インターネットとは、ネットワーク間をつなぐネットワークという意味である。日本では、JUNETなどのボランティアが運用する学術研究向けインター ネットが構築された。海外ともつながることで、新鮮な研究情報が交換できるようになった。そこにISP(Internet Service Provider)が参入し、IPアドレスを割り当てる仕組みもできて、一般の企業や家庭もインターネットに接続できる環境ができあがった。インターネットに接続するホストの数は急成長し、2011年には40億余りあるIPv4のアドレスが全て使い尽くされるほどに普及した。
IoTは、機器をコンピュータによってデジタル制御する組込みシステムの発展形である。ハードウェア的に見れば、従来の組込みシステムにネットワーク接続機能を追加したのがIoTデバイスである。自動車の車載エレクトロニクスのように、IoTが取りざたされる前からネットワーク機能を備えた組込みシステムもあったので、違いがわかりにくいかもしれない。IoTのネットワーク接続とは、インターネットを経由して、その先のクラウドに接続されることを意味する。そのため、ミニコンポのリモコンや、音響・音声信号をBluetoothで飛ばすMP3プレイヤーとヘッドホンのセットは、ネットワーク機能を持った組込みシステムではあるが、IoT的ではない。
IoTの定義
IoTとは、ITの使われ方や発展の方向を示すトレンドやビジョンであり、「それはIoTらしい」とか、「IoT的でない」と判断することに強い意味はない。一方で、ITの発展は、完全に自然発生的に進むものではなく、デバイス、ソフトウェア、ネットワーク、サービス、法制度など多様な要素が関係する故に、IoTの進む方向についてのコンセンサスを持つことには意味がある。その事情は、半導体微細化のロードマップづくりと似ている。また、IoTのセキュリティを論ずるには、すでに起こった問題への対策を論ずるのではなく、これから発生するであろうIoTのセキュリティ課題を論じたいのであるから、IoTが何で、どのような方向に進むか、あるいは、産業的・社会的コンセンサスは、IoTをどのような方向に進めようとしているのかを認識しておく必要がある。
上で述べたIoTという用語を編み出したKevin Ashton氏の先見性は尊重するとしても、RFIDだけがIoTの本質ではないし、時代も大きく変わってきている。2015年頃から、さまざまな機関がIoTの定義を試みている。日本では、2016年12月に施行された官民データ活用推進基本法が、インターネット・オブ・シングス活用関連技術を次のように定義している。
官民データ活用推進基本法(第2条2項)
この法律において「インターネット・オブ・シングス活用関連技術」とは、インターネットに多様かつ多数の物が接続されて、それらの物から送信され、又はそれらの物に送信される大量の情報の活用に関する技術であって、当該情報の活用による付加価値の創出によって、事業者の経営の能率及び生産性の向上、新たな事業の創出並びに就業の機会の増大をもたらし、もって国民生活の向上及び国民経済の健全な発展に寄与するものをいう。
しかし、次のIDC(International Data Corporation)による定義が、もっと端的にIoTの本質を捉えていると思われる。
IoT is s a network of networks of uniquely identifiable endpoints(or "things") that communicate without human interaction using IP connectivity — be it "locally" or globally.
IoTとは、ローカルかグローバルかを問わず、IP接続を使って、人間が介在することなく通信する一意に識別可能なエンドポイントデバイス(または「もの」)のネットワークのネットワークである。
IP接続と言っているので、赤外線リモコンのような器具はIoTではないが、最近ではWi-Fi接続機能を持ったスマートリモコンも登場している。人間が介在しない通信は、M2M通信(machine to machine 通信、機械と機械の通信)と呼ぶ。スマートフォンにモバイルアプリケーションをダウンロードする行為には人が介在するので、IoTらしくないが、スマートフォンが朝、Wi-Fiを使って自動的に家電のスイッチを入れるような動作をすると、それはIoT的な機能と言える。ネットワークのネットワークというのは、企業や家庭内のマネージされたLAN、あるいは工場のフィールドバスや制御システムネットワークにつながれた機器が、インターネットという中央集権的コントロールの弱いネットワークにつながることを示している。IP接続、M2M通信、コントロールの弱いネットワークという3つの特徴は、IoTのセキュリティにも大きな影響を与えることになる。
(「IoTセキュリティ技術入門」より抜粋)
書籍紹介
IoTが広く社会に浸透した結果、セキュリティの問題が生まれた。現在発生しているサイバー攻撃のうち、半数以上はIoTデバイスを狙ったものであることから、その深刻さが伺える。本書では、製品、工場、自動車分野など様々に使われるIoTのセキュリティ技術について解説する。
書名:IoTセキュリティ技術入門
著者名:松井俊浩
判型:A5判
総頁数:184頁
税込み価格:2,200円