ペンタセキュリティが毎月(年12回)掲載しているセキュリティコラムです。
当社のR&DセンターのTOSLabは、本コラムより、社会一般必要なICTセキュリティとその課題について提言することで
企業、そして社会のセキュリティ認識の向上およびセキュリティ文化の定着を支援致します。

a-l-117960-unsplash-699x375_5f548b355c0e36561003c6cc7007905d

【コラム】 変化する未来自動車の5つの要素:最終回

コンテンツ

  • SPACEとは?
  • 電化(Electrification)
  • 連結性(Connectivity)
  • 自律走行(Autonomous Driving)
  • プラットフォーム(Platform)
  • セキュリティ(Security)

※リンクをクリックすると、以前コンテンツをご覧できます。

プラットフォーム (Platform)

 

自動車が連結性を持つことになり、ネットワークに連結されている自動車を活用する様々なサービスが新しく開発されている。従来の自動車産業は、部品サプライヤーと完成車メーカーで構成される自動車生産産業や、自動車が顧客に販売されてから形成される市場(After Market)を通して販売される部品市場、そして自動車販売と関連した金融および保険市場で構成されていた。しかし、自動車に付加された連結性は、従来の市場とは違う様々なサービスを生み出している。

 

(イメージ出典 : pwc.com)

新しく話題になっているサービスの中で最も代表的なサービスは、自動車公有サービス(Car Sharing service)だ。ソフトウェアがオンデマンド(On Demand)方式のサービス形式で提供されるSaaS(Software-as-a-Service)にたとえ、自動車公有サービスがMaaS(Mobility-as-a-Service)に発展していると説明する専門家たちもいる。他の概念では「Pay as you dirve」とも言えるが、自動車を利用した分だけ費用を支払う方式を意味する。このような概念を適用した保険製品も登場している。
私たちが使っている携帯電話がフィーチャーフォン(Feature Phone)からスマートフォン(Smart Phone)へと進化して行った過程を見てみると、フィーチャーフォンも制限的だが、インターネットを使うことができた。しかし、スマートフォンへ進化しながら、インターネットへの連結範囲はさらに拡大され、活用方式も多様になった。例えば、フィーチャーフォンのソフトウェアは、メーカーにより一度搭載されると、消費者が任意に選択・修正することができないが、スマートフォンのソフトウェアは利用者が選択してインストールし、自分の好みに合わせて設定することができる。コネクティッドカーがスマートカーに変わって行く過程は、フィーチャーフォンがスマートフォンに変わって行く過程と似ているはずだ。自動車のソフトウェアは自動車メーカーの選択によってインストールされるのではなく、利用者の選択によってインストールされ、インターネットへの連結範囲は幅広く多様になるはずだ。

 

スマートフォンの拡散になり、多様なサービス・プラットフォームと生態系(Eco system)ができた。アイフォン(iPhone)を開発したアップル(Apple)社は、アップストア(App Store)とアイチューンズ・ストア(Itunes Store)を介し、アイフォン(iPhone)利用者にソフトウェアやマルチメディア・コンテンツを提供するプラットフォームを作り、さらに、これを通じてアプリ開発社とコンテンツ提供社を結ぶ生態系を作ることにより、プラットフォームと生態系が新しい付加価値市場を作り出すという事実を証明した。アップル(Apple)社の売上は、2017年第4四半期基準で526憶ドルであり、そのうち、プラットフォームによるサービスの売上が85憶ドルに達する。(*1)

自動車産業でもこのような変化や革新が起こると期待されている。自動車というハードウェアを販売し、自動車に搭載したり付着可能なアクセサリーを販売することにとどまらず、自動車を利用するに便利なサービスが巨大な新規市場を形成すると見込まれる。アイフォン(iPhone)、アイパット(iPad)などのハードウェア販売のみならず、プラットフォームを活用したサービスによっても売上を出しているアップル(Apple)社のビジネス仕組みと似ている。

 

(イメージ出典 : pwc.com)

2015年と2030年展望を比較した資料(*2)をみると、新しい技術やソフトウェアのサプライヤー(Supplier of New Technology and Software)が生み出す市場、サービス(Digital Service)が作り出す市場、カーシェアリング(Shared Mobility)のような新規事業が作り出す市場の規模は、2015年では売上基準で3%未満、利益基準で4%未満になると推算された。一方、2030年では、売上基準で19%、利益基準は36%に達すると予測されるという。

EU28ヵ国の国土交通大臣は、「コネクティッドカーおよび自律走行自動車分野における協力」を目指し、2016年4月にアムステルダム議定書(Declaration of Amsterdam)(*3)を採択して公表した。この議定書には大きく8つの協力項目が盛り込まれている。その中でデータ使用(Use of Data)の部分は、コネクティッドカーと自律走行自動車の利用により生成されたデータを活用し、公的もしくは私的な付加価値サービス(Public and Private Value-Added Service)を作り出せると書いてある。これは、自動車データを収集し、加工して新しいサービスとして利用者に提供可能であることを意味する。車両がオンライン上のコンテンツとリソースにアクセスすることに対しては、ISO20077とISO20078標準の拡張車両(ExVe;Extended Vehicle)にて定義されている。これらの標準には、HTTP通信のWeb技術を基に、自動車がオンライン上のコンテンツと情報リソースにアクセスする方法を含めている。

新しいサービスによる新規市場の胎動を予測する一方で、自動車がオンライン上の情報リソースにアクセスする方法を標準化している。スマートフォンに新規のアップリケーションをインストールすると、スマートフォン内部のデータを収集し、オンラインサーバへの提供に同意することを求められる。私たちは意識せずそれに同意し、オンラインサービスを楽しむ。これは、私たちが今後、自動車に対し取る態勢でもある。自動車からオンラインサーバへとデータが収集され、オンラインサーバから自動車へとサービスが提供されるというオンラインサービス・プラットフォームが求められる時期が来る。従来の自動車が速く移動するための交通手段に過ぎなかったら、将来の自動車のスマートカーは、オンラインサービスを活用する新しい空間になるはずだ。自律走行技術の完成度が高くなればなるほど、ドライバーは運転することから解放され、解放された分、多様なオンライサービスを活用できようになる。地下鉄とバスの中で多くの人がスマートフォンで何かをしているではないか。

新しいサービスは、自動車があるから可能になるものではあるが、自動車がその中心にあるわけではない。スマートフォンで利用可能なオンラインサービスの中で、スマートフォンのみで利用可能なサービスは殆どない。利用者はスマートフォン以外に様々なデバイスや環境でサービスが利用でき、利用者以外に他の多くの主体が参加するケースも多い。スマートカーと連結されるサービスも同じく、サービスプラットフォームが中心になり、スマートカーは、スマートフォンなどの多様なデバイスと連結され、多くの主体が参加できるようになるだろう。アップル(Apple)社がプラットフォームを基盤に生態系を構築し、スマートフォンの利用環境をリードしていることを繰り返し考えてみると、生態系の基盤となるプラットフォームが、スマートカーの発展を牽引する肝心な要素になることに疑いはないはずだ。

セキュリティ(Security)

 

電化(Electrification)、連結性(Connectivity)、自律走行(Autonomous)、プラットフォーム(platform)化による様々な変化を探ってみた。電化、自律走行、プラットフォーム化においても外部通信が基本道具で使用されるため、連結性は、これらの変化のスタート時点とも言える。

 

space-10

 

自動車が外部と連結されるV2V、V2I、V2P、V2D、V2H、V2G、V2Nなどの様々な通信モデルにおいてセキュリティは、必ず先決されなければならない課題として確認されている。セキュリティが保障されていない状態で連結のみ行うことは危険であることに疑う余地もないだろう。セキュリティ対策を立てた後に連結をするのが意味があるため「セキュリティから始まる。そして、つなぐ(Secure First、Then Connect)」の戦略が核心戦略にならなければならない。

電化の分野でも電気自動車が充電器を介した決済会社を含む様々な二次アクターとの連結に、必ずセキュリティが必要になる。連結性にて定義するV2G通信モデルがこれに当たる。

オンラインサービス・フラットフォームではサービスが中心に位置され、自動車、モノのインターネット、モバイル端末、そして様々な主体がサービスに連結されるプラットフォーム化でも、個体間の認証や暗号化などの基本的なセキュリティツールは、必須要素になる。

自律走行自動車の場合は、外部通信が自動車の運行に直接影響を及ぼすため、安全問題に直結する。
これは、外部から流入されるデータに対しては認証と暗号化が必ず必要という意味である。外部通信が使用されなくてもセキュリティは必要である。車内の認可されていないまたは誤作動を起こす制御機器の部品は、車両の正常動作を阻害する要因になる。車両の内部ネットワークに、マルウェアなど悪意のあるパケットの差し込みを試す外部通信攻撃に対しても、車両内部ネットワークの強健性維持は、最も重量な課題である。車両環境に最適化されたファイアウォールや侵入検知技術などがこれに当たる。

 

space-11

 

自動車に適用されるセキュリティ技術は、大きく4つに分けられる。

1つ目は、車両と車両外部の個体間の安全な通信確立のためのセキュリティ技術である。連結性確保のために必要なセキュリティがここに当たる。2つ目は、車両のゲートウェイから車両に流入されるトラフィックに対し、有害性を検査する侵入検知、通信経路をコントロールするファイアウォール、車両内部のデータを外部に転送し、公有するためのデータ保護と個人情報保護の技術である。これらの技術は、車両の外部ネットワークと内部ネットワークの境界で車両の戦い場を保護する。3つ目は、車両の内部ネットワークの通信に対するセキュリティ技術である。車両の内部には、100個を超える電子制御装置(ECU:Electronic Control Unit)が存在し、これらがお互いに連結されてプライベートネットワークが構成されると理解すれば良い。車両の内部ネットワークにおいて電子制御装置間の安全な通信確立に必要な認証や暗号化のようなセキュリティ技術がここに当たる。4つ目は、それぞれの電子制御装置を安全に守るセキュリティ技術である。完全に起動されたかとうかが確認できるセキュアブート(Secure Boot)、第三者が電子制御装置の完全性を検証できるリモート検証(Remote Attestation)、電子制御装置のファームウェアやソフトウェアの更新のためのセキュア更新(Secure Update)などがここに当たる。これらの技術が電子制御装置内でより安全に適用されるようにするには、ハッキングや改ざんから安全だとみられるハードウェアトラストアンカー(HTA;Hardware Trust Anchor)を採用すれば良い。
自動車の外部通信のうち、V2V、 V2I、V2G などの通信モデルに適用されるセキュリティ技術は、既に標準化が進められている。しかし、それ以外の技術に対しては、標準が存在していない。自動車メーカー、部品サプライヤー、セキュリティソリューションベンダーなどが協力して安全な自動車を設計し、開発いていくしかない。

今まで自動車分野における5つの変化について探ってみた。これらの変化に対する理解を深めるためには、私たちが普段使っているスマートフォンを改めて注意深くみてほしい。自動車の将来はスマートカーであり、スマートカーは私たちが持つもう一つのスマート機器になるためである。

スマートカーへの進化には、相当な時間が必要になり、その過程の中で命の安全を保障しながら利便性と有用性を共に得るためには、自動車関連企業だけではなく、政府機関から一般利用者に至るまで多くの人の協力と努力が必要である。

 

【出典】

*1https://www.macrumors.com/2017/11/02/earnings-4q-2017/

*2https://www.strategyand.pwc.com/reports/connected-car-2016-study

*3https://english.eu2016.nl/documents/publications/2016/04/14/declaration-of-amsterdam

 

 

セキュリティ1

【コラム】 変化する未来自動車の5つの要素:第2回

コンテンツ

  • SPACEとは?
  • 電化(Electrification)
  • 連結性(Connectivity)
  • 自律走行(Autonomous Driving)
  • プラットフォーム(Platform)
  • セキュリティ(Security)

※リンクをクリックすると、以前コンテンツをご覧できます。

連結性 (Connectivity)

モノのインターネットで分類されるデバイスとそうではないデバイスを仕分ける核心は連結性であり、モノのインターネットで最も重要な位置を占める自動車が従来の自動車と区別される核心機能もまた連結性である。従来の自動車にも連結性がなかったわけではない。携帯と自動車をBluetoothで連結して電話したり、音楽を聴くのも連結性である。モバイルアプリで自動車のドアを閉めたり開けたり、エンジンをかけるなどの機能を提供するテレマティクス(Telematics)も通信会社を通じた移動通信を使用している。

従来の自動車と区分してコネクティッドカー(Connected Car)と呼ばれる自動車は、従来の通信連結よりも幅広い連結性を追求している。自動車と自動車の間の通信であるV2V(Vehicle-to-Vehicle)、自動車と道路であったり、自動車とインフラ間の通信であるV2I(Vehicle-to-Infra)、自動車と電力網の間の通信であるV2G(Vehicle-to-Grid)、自動車とモバイル機器間の通信であるV2D(Vehicle-to-Nomadic Device)、自動車と家を連結するV2H(Vehicle-to-Home)などがこれに該当する。自転車、二輪車などの交通手段を使用したり、歩行者との通信であるV2P(Vehicle-to-Pedestrian)も新しい通信モデルとして浮上している。車両製造会社は、テレマティクスを通じた断片的サービスより、さらに幅広いサービス提供に向け、クラウドやオンラインサービス連結を提供できる通信モデルを準備している。この通信モデルは、V2N(Vehicle-to-Network)、V2S(Vehicle-to-Service)、V2C(Vehicle-to-Cloud)などの多様な名称で呼ばれている。

 

V2Gモデルは、前述した「電化」段落で説明したように、電気自動車が充電器を通じてSecondary Actorと連結されるサービスを反映したものだ。V2Hモデルで主導権を先取りするため、サムスン電子などの家電メーカー各社はスマート冷蔵庫やスマートテレビと自動車を連結する試みをしている。自動車製造会社であるフォルクスワーゲン(Volkswagen)は、2016年CES展示会でLG電子の冷蔵庫と連結するシナリオに対し、展示をしたことがある。最近は、音声認識機能を搭載したスマートスピーカーの躍進が目立っているが、これをリードするのがアマゾン(Amazon)のアレクサ(Alexa)サービスである。2018年CESでは自動車だけでなく、モノのインターネット(IoT)機器をアレクサと連結した製品がたくさん展示された。アレクササービスとアマゾンクラウドを媒介にし、自動車とモノのインターネット機器、家が連結されるシナリオが自然に完成されることができた。これと類似の試みは、アップルのカープレー(Apple–CarPlay)やグーグルのアンドロイドオート(Google–Android Auto)を通じても行われている。カープレーやアンドロイドオートを搭載した自動車は、アップルのクラウドやグーグルのクラウドを通じて、他のデバイスと簡単に連結できる。

各国政府が興味を持っている分野は、V2VとV2Iモデルだ。V2V通信を通じて、車両間の衝突事故を減らし、V2Iを通じて安全運転に必要な交通情報を提供することで、事故を減らして安全を高めることを目指している。米国・ヨーロッパ・日本・中国・韓国で推進されている次世代交通システム(C-ITS:Cooperative Intelligent Transportation System、協調型高度道路交通システム)事業はV2VとV2I通信に基盤して、交通システムを革新する事業だ。今後のV2Pモデルも次世代交通システムに反映されるものと予想される。

自動車製造会社がリードするV2C/V2SモデルとV2Hモデルを通じて、自動車は単なる移動手段ではなく、様々なオンラインサービスを活用する空間としての価値を高めて新しい事業を創出できるようになる。これらのサービスは、次世代自動車への変化であるSPACEの中で「プラットフォーム」部分と大きな関連性を持つ。

よく自動車の未来像をスマートカー(コネクティッドカーを含む意味)だと言う。自動車がスマート機器の一つになるということだ。私たちがすでに持っているスマート機器が一つある。スマートフォンである。スマートフォンには連結性がないと、特にインターネットがつながらないと仮定してみよう。もしくは、コンピューターでインターネット接続が出来ないと考えてみよう。たぶん、スマートフォンやコンピューターをどうやって使用しなければならないかを悩むようになるだろう。新たなスマート機器であるスマートカーも同じだ。自動車がスマートカーで進化するために必ず必要なものが連結性だ。

自動車の安全度を高めたり、活用度を高めるために連結性は重要な役割をするが、連結性を持つために通信チャネルが公開され、セキュリティ脅威も共存することになる。信頼できない主体が生成した誤った情報が自動車の運行を妨害したり、露出されたチャンネルを通じてハッカーの攻撃が入ったり、ハッカーが自動車を制御することも可能になる。IT環境でのセキュリティ事故は金銭的な被害で止まるが、自動車のセキュリティ事故は人の生命と安全と直結するために、その重要性が非常に、いや、最も高い。自動車が通信を通じて外部と安全に連結するためにはセキュリティが必ず解決しなければならない課題であるものだ。

 

自律走行 (Autonomous Driving)

未来が背景となるドラマや映画でよく登場する技術が自律走行だ。自律走行は、未来技術ではない。今も船舶や飛行機は自律走行機能をすでに適用し、運行している。船舶や飛行機は決められた航路に沿って自律走行をするが、自動車は道路の急変する状況に対処しなければならないため、自律走行を適用すことが簡単ではなく、まだ未完の技術として存在している。

海外のたくさんの企業が巨額の資金を投資し、自動車向けの自律走行技術を開発しており、自律走行自動車の交通事故で死亡者が発生したという記事も主要なニュースとして取り上げられている。

ある会社では自律走行3段階の技術を開発したとし、ある会社では自律走行4段階を開発したという。自律走行技術のレベルを定義した「SAE J3016標準」では自律走行段階を0~5段階に分けており、3段階以上を自律走行自動車(Autonomous Vehicle)と見ている。

 

(イメージ出典 : iQ.intel.com)

 

自律走行の4段階の技術は3段階の技術より優れた技術なのか。そうかもしれないが、そうではないかもしれない。米国運輸省(DoT:Department of Transportation)傘下の道路交通安全局(NHTSA:National Highway Traffic Safety Administration)が2016年に作成した「Federal Automated Vehicles Policy」ではODD(Operational Design Domain)を自律走行の構成要素に含めている。

 

(イメージ出典 : “Federal Automated Vehicles Policy”, NHTSA, 2016)

ODDは、自律走行が動作できる条件である地理的位置・道路類型・走行速度範囲・天気などの制約を含む。同一のODD条件から見ると、自律走行3段階の技術が自律走行4段階の技術より優れた技術であることは事実だが、ODDが異なれば、どの技術がさらに優れた技術なのかを判断することが容易ではない。快晴の天気でドイツのアウトバーンを走ることのできる自律走行4段階の技術と可視距離が数十メートルしかならない大雨の状況でも都心の繁華街を走ることができる自律走行3段階の技術を比較するのは難しいことだ。

アメリカのNHTSA文書では自律走行自動車が遵守すべき技術の要素としてサイバーセキュリティ(Cybersecurity)を明示している。自律走行とセキュリティは何の関係があるのだろうか。

自律走行自動車は、自動車に搭載されたカメラ、レーダー(radar)、ライダー(LiDar)、赤外線センサーなどの様々なセンサーを通じて周辺を認識して、どのように走行するかの判断をリアルタイムでする。センサーから収集したデータを分析し、リアルタイムで判断することがまだ未完の技術であり、悲劇的事故が発生したりもする。2016年に発生したテスラ自動車の交通事故は、左折する白いトレーラーの横面と空を区分しなかったせいで発生した事故だった。(*1) それなら、ハッカーがセンサーの正常動作を妨害したり、信号をかく乱し、自動車が誤った判断を下すよう誘導することも可能ではないか。人も真正面から強力な光を見ると、しばらくは前を見ることができない状態になる。同じく、自動車のカメラにも強力な光を照らすと、自動車はすぐ前の障害物も識別できなくなる。このような攻撃は高価な装備や高度の技術が必要なものではない。性能の良い電灯や大きな鏡だけあっても犯しかねない犯罪だ。車両が内蔵センサーだけで周辺の状況を判断することには限界があるため、自動車が周辺の他の自動車や道路と情報をやり取りしながら自律走行をすることになる。このような自律走行を「自律協力走行」という。

「連結性」で説明したV2V通信とV2I通信が自律協力走行でも使用されるものだ。外部との通信を通じて、周辺状況に対する情報を得るため、通信相手に対する信頼を検証し、通信チャンネルの信頼可否を検証することが必要になる。

自律走行で使用されるまた違う形の通信がある。自律走行タクシーを運営するタクシー会社を想像してみよう。タクシーを利用しようとする乗客がタクシー会社に要請すれば、タクシー会社はタクシーのうち、特定のタクシーにお客さまの状況を伝えなければならず、その前にタクシーの現状を会社がリアルタイムで把握し、顧客の需要が多発する所へタクシーを事前に移動させておくことも必要である。この場合にV2NもしくはV2Cモデルの通信を利用することになる。自律走行自動車は内蔵されたセンサーを使用するが、外部通信を使用することもあるためにこの通信のためのセキュリティが確保されなければならない。

 

続き>>

【出典】

*1:http://www.straitstimes.com/world/united-states/tesla-car-on-autopilot-crashes-killing-driver

本コラムは、3回に分けて掲載されるます。

セキュリティ2

【コラム】 変化する未来自動車の5つの要素:第1回

nasa-63032-unsplash (1)

 

コンテンツ

  • SPACEとは?
  • 電化(Electrification)
  • 連結性(Connectivity)
  • 自律走行(Autonomous Driving)
  • プラットフォーム(Platform)
  • セキュリティ(Security)

 

SPACEとは?

モノのインターネットやクラウドのような言葉が日常的な用語となり、技術系で働かない人々にももう不慣れでない。近年では、様々な分野で第4次産業革命を言及しながら、社会全般にわたって大きな変化と革新を持って来るはずだと期待している。まさに、その第4次産業革命を率いる技術が「モノのインターネット」と「クラウド」である。モノのインターネットは、デバイス・自動車・家電などがソフトウェアと通信関連結をもとに、ネットワークに接続されてデータを交換できる一連のネットワークと定義される。(*1)第4次産業革命のために必要な要素がたくさんあり、モノのインターネットのデバイスの種類もたくさんあるけど、第4次産業革命の主力であるモノのインターネットを導く主役は、自動車である。

 

space-1

(イメージ出典 : space.com)

18世紀後半、蒸気機関車が商業的な目的で開発され、19世紀末に石油を使用する内燃機関エンジンを搭載した自動車が発明されて以来、自動車の変化は着実に続かれてきた。自動車はさらに安全に、さらに早く、さらに便利な移動手段として我々の生活に欠かせないものになった。最近は、自動車の限界を超える変化も起きている。近いうちに我々は空を飛んだり海の中を通る車を購入するようになるかもしれない。2018年2月、自動車は宇宙に行った。(*2) イーロン・マスク(Elon Musk)がSpaceX宇宙船にテスラ(Tesla)自動車を宇宙に送ったのだ。イーロン・マスクという人物があまりにも独特な人物でもあろうが、この事件は、「従来の自動車が持っていた限界を超える。」という新しい観点を我々に 提示したとみられる。

宇宙を意味する単語である「SPACE」 は、空間という意味も持っている。自動車と空間は別の概念とは思えない。自動車が提供する移動性が人間の生活空間を広めて、自動車を運転する間に提供する室内空間が我々のまた一つの生活空間となっている。もはや、地球という空間(SPACE)の限界を超え、宇宙(SPACE)まで行った自動車をみることになったのだ。

イーロン・マスクは、自動車を宇宙に送ったが、彼は電気自動車専門製造会社のテスラをリードする人でもある。私たちの周りで電気自動車を見るのがさほど難しくないようになった。純粋な電気車もいるが、ハイブリッド自動車やプラグインハイブリッドカーまで含めば、電気自動車はもうかなりありふれたものになった。自動車分野で起きている変化はそれだけではない。それでは、自動車の変化を見てみよう。

 

space-2

 

宇宙、または空間を意味する「SPACE」をSecurity, Platform, Autonomous, Connectivity, Electrification の 5つの単語の組み合わせと定義したい。人々からよく「未来自動車」と言われるスマートカー(Smart Car)が上記の5つの技術概念を必修的に要求する。

 

電化 (Electrification)

イギリスとフランス政府は、2040年からガソリンやディーゼルなどの化石燃料を使用する内燃機関車の生産を禁じることを発表した。(*3) オランダ政府も2030年からは内燃機関車の生産を禁じることを発表し、(*4) ドイツ政府も2030年から内燃機関車の生産を禁じる方案を検討中である。車両製造会社のボルボ(Volvo)は2019年以後、内燃機関車両の開発を中断すると宣言した。(*5) 2040年には新車モデルの35%が電気自動車になるはずという見込みもある。(*6)

 

space-3

 

内燃機関エンジンを使用する一般自動車がエンジンの動力を車輪まで伝えるためのパワートレイン(Powertrain)を中心に動作することに比べ、電気自動車は電池とモーターの組み合わせでさらに単純で軽い構造で動作できるメリットがある。電池充電の頻度と所要時間が電気自動車の便利さや性能を示す主要指標になったりもする。電気自動車の充電を電気自動車の内蔵電池に電荷を満たす単純な作業と勘違いしやすい。しかし、電気車の充電ケーブルは電気を伝えるだけでなく、データの送受信も一緒に行われるように作られている。私たちが使用するスマートフォンをコンピューターに連結すれば、充電とデータ同期化が共に行われることを連想すれば理解が容易になる。

電気車の充電ケーブルは電気自動車の新たな通信チャンネルと理解する必要がある。充電する間、充電のために使用した電気ほどの費用決済が車両と充電器の間の通信を通じて自動で行われる。このようなサービスをプラグ&チャージ(Plug&Charge)あるいはプラグ&ペイ(Plug&Pay)と呼ばれる。停車した状態での有線充電ではなく、走る中でも充電が可能な無線充電までできれば、プラグ&チャージ(Plug&Charge)技術は今後さらに主要な技術になるだろう。

充電にかかる時間も新しい意味を持つことができる。電気自動車の充電は数秒ぶりに行われない。数十分、あるいは数時間はかかってから充電が完了される。この時間の間、車両と充電器の間には安定的な通信チャンネルが維持されるので、この通信を活用して車両を診断したり車両に必要なソフトウェアや情報を更新することも可能だ。車両の充電器が車両に電気を供給しながら車両を診断したり、車両にソフトウェアを供給する接点の役割も共に果たすようになるのだ。充電器と連結し、決済を含む様々なサービスを提供する主体を電気自動車分野ではSecondary Actorと呼ばれる。

 

space-4

 

車両と充電器、充電器とSecondary Actorの間で通信が存在して、安全な通信のためにはセキュリティが必要である。通信で連結される主体間の認証を提供して、機密性が必要なデータに対して暗号化を提供して、整合性と認証性が必要なデータについては、電子署名を提供することがセキュリティの基本的な範囲である。決済を安全に提供してSecondary Actorが提供するサービスの信頼度を確保することもセキュリティが解決しなければならない宿題だ。

 

続き>>

【出典】

*1:https://en.wikipedia.org/wiki/Internet_of_things

*2:https://www.space.com/39633-spacex-tesla-roadster-starman-final-photo.html

*3:http://global-autonews.com/bbs/board.php?bo_table=bd_008&wr_id=2387

*4:http://thegear.co.kr/15232

*5:http://www.autodaily.co.kr/news/articleView.html?idxno=336321

*6:https://www.bloomberg.com/features/2016-ev-oil-crisis/

 

本コラムは、3回に分けて掲載されるます。

モノのインターネット

【コラム】 モノのインターネット(IoT)も大手企業の役目なのか。

まず、誤解がある。

ある事物をインターネットに接続させることさえすれば、いわゆる「モノのインターネット」になるという誤解。
ウェブでIoT、スタートアップ、モノのインターネット、起業などの検索語を入力すると、華やかな美辞麗句で飾られた書き込みがすごく出てくる。「モノのインターネットにスタートアップ育成」、「IoTスタートアップを始まる方法」、「熱いモノのインターネット起業熱気」など、とても熱い。これは、政府も同じだ。モノのインターネットこそ小資本で起業が容易な未来産業であり、我々は創造的に何だかんだ…。

しかし、

IoTは本当に小資本のスタートアップにふさわしい事業だろうか。

 

結論から言えば、今はそうではない。 それではいけない。

 

IoTは「三位一体」

1) デバイス、2) アプリケーション、3) クラウド、 この3つの要素が合わせてIoTを成している。
アプリケーションという言葉はただ「インターネット」と読み替えても差し支えない。最近のアプリケーションは、ほとんどがウェブアプリケーションだから。名前から「モノのインターネット」なので、物もインターネットも必要だ。したがって、1)と2)は当然に見える。「事物」が「インターネット」より先に出てきて、実物が目に見える具体的なものであるため、一層重要に見えるが、実は「インターネット」がより重要だ。

 

言い換えれば、ドローン産業と同じだ。ドローンは目にすぐ見える物であるため、「ドローン産業」といえば、誰もがドローンという製品だけを思い浮かべる。それで、もし中国などの国家でドローンを安い値段で作る方法を探した! とすれば、他の国では価格競争力を備えることに対して悩んだりするのではないかと考えがちだ。
しかし、ドローン産業の本質は物を安い値段でたくさん売ることではない。3次元の座標上の特定の位置にドローンが安定的に位置して移動するようにすることとそれに対する管制、そして安全である。
単に物を安価に作ることに対して競争しなくても良いという意味だ。

 

それで、1と2)はさておき、3)クラウドは? それもまた必須要素だ。事物から収集した情報をクラウドを通じて、取りまとめて総合して分析することで、製品の性能を改善し、使用者に必要なサービスを提供する。それがなければ、モノのインターネットとはただ物に電話器を通してつけたり消したりできる遠隔スイッチを付けることに過ぎないから。

 

IoTセキュリティも「三位一体」

 

1)デバイス、2)アプリケーション、3)クラウドがIoTの必須要素であるため、
1)デバイス・セキュリティ、2)アプリケーション・セキュリティ、3)、クラウド・セキュリティもまたIoTセキュリティの必須要素だ。

 

問題は、その3つのセキュリティがお互い異なる性質の技術を要求するため、技術研究開発の性格もまた異なるが、大手企業の規模なら、それぞれ専従チームを運営するはずなのであまり問題はないが、小規模企業の場合は耐え難いことだ。すべてのチームを組織してしまうと、すでに小規模の企業ではない。それで、
IoTは、本当に小資本スタートアップにふさわしい事業だろうか?

 

今は、そうではないということだ。むやみに飛びかかる事業ではない。また、それではいけない。IoTは、従来のありふれたITとは違って、人と直接接触する「モノ」を扱う技術であるため、安全問題はさらに致命的だ。したがって、IoTは「セキュリティを先にしておいて、セキュリティが完備された後に連結する」ということが大事だ。情報だけがやり取りされる中で発生するIT事故ではお金を失ったり、会社を相手にして法的論争に巻き込まれたりする。こういう事故は人の命が危なくなるIoT関連の事故と比べると、むしろかわいいレベルの事故とも見える。

 

1)デバイス・セキュリティ、2)アプリケーション・セキュリティ、3)クラウド・セキュリティなど、IoTセキュリティの三位一体のある要素も決してずさんにしてはいけない。なのに、簡単に「IoTは小規模起業!」などを騒ぐごちゃごちゃする風土が実に心配だ。その中で家庭用IPカメラなどのIoTデバイスからはあらゆる事故が起きている。本当に危険な状況だ。
だからといって、あきらめなければならないのか。IoTまで大手企業の役目ということか。幸いなことに、そうではない。

 

IoT開発はIoTプラットフォーム

IT関連の物語によく登場する「プラットフォーム」という用語は、乗り場という本来の語意を超えて、システムを構成する骨格の意味として様々な産業分野でよく使われる。多くの人々が簡単に利用する共用基盤施設ぐらいの意味だが、例えば、工場の生産過程全般からどんなITアプリケーションが動作する基礎となるOSなどの環境まで全般的に示す言葉である。

 

いわば産業工学的な合理の流れによって定着された用語だが、大量生産に向けた手続きそして手続きの自動化に悩む過程を通じて、概念がそれぞれの分野で徐々に具体化された。これによって、最近はWindows、macOS、アンドロイド、iOSなどの運営体制やInternet Explorer、chromeなどブラウザもプラットフォームと呼ばれていて、開発上の便利さのため、ある言語環境を提供してくれる補助アプリケーションも開発プラットフォームと呼ばれる。

 

IoTにもそのようなプラットフォームがある。IoTが今日のIT業界の最も熱い話題であるだけに、複数の会社が競争的に優れたIoTプラットフォームサービスを提供する。そのようなプラットフォームを利用すれば、小さな会社も必要なすべての技術力を自体的に保有しなくても、HTTPなどのプロトコルを利用してデバイスを他のデバイス、そしてウェブサービスに接続して、データをやり取りしながら相互作用し、収集したデータを処理して、その処理結果に基づいたサービスを運営するなどのモノのインターネット事業を見事に運営することができる。

 

IoTセキュリティ

【コラム】 安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題になっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、何となく十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、利用する人たちは安心した。

 

1997年に導入されたWEP方式は、2001年に致命的なセキュリティ脆弱性が発見され、この代わりにセキュリティを強化した’WPA(Wi-Fi Protected Access)’標準が制定された。しかし、TKIP(Temporal Key Integrity Protocol)方式のセキュリティプロトコルを使用するWPAもたった60秒以内にハッキングできるという事実が明らかになった。幸いに、その脆弱性はTKIP暗号化アルゴリズムではなく、AES(Advanced Encryption Standard)方式を使用することによって回避することができた。また、WPAに続いて、AESに基づいたCCMP(Counter Cipher Mode with block chaining message authentication code Protocol)を基本に使用するWPA2が登場し、今日までWi-Fiネットワークプロトコルセキュリティ標準として位置づけられている。

 

それで、セキュリティ専門家たちも「WPA2を使いなさい!」、「WPA2は安全です!」と強く主張したのだ。ところが、そのWPA2まで崩れたのだ。その経緯を見てみよう。

 

「KRACK」にクラック

WPA2を狙った「KRACK(Key Reinstallation AttaCK)」は、名前の意味そのままKeyを再設定する攻撃である。WPA2プロトコルの鍵管理脆弱性を攻撃する。米国国土安全保障省(DHS)配下の情報セキュリティ対策組織であるUS-CERT(United States Computer Emergency Readiness Team、アメリカのコンピュータ緊急対応チーム)では、KRACKの危険性について「復号化・パケットの再生・TCP接続ハイジョキン・HTTPコンテンツ・インジェクションなどが影響を受ける。プロトコル自体の問題であるため、WPA2標準のほとんど、またはすべての部分に該当する。」と言った。

 

KRACK攻撃者は、Wi-Fiネットワーク過程に介入し、鍵を再設定することで、これまで安全に暗号化されていると信じて疑わなかった情報、例えばクレジットカード番号、パスワード、電子メール、メッセージなどの敏感な情報を盗み取ることができる。これに、Wi-Fiを使っていた人たちは大きな混乱に陥った。

 

「WPA2は信じても良いって言ってなかった?」、「暗号化は安全だといつも言ってたでしょう!」「AESも不安というわけか!」

 

これは当然な反応だ。それほどWPA2に対する信頼が堅固だったのだ。そして、攻撃による被害規模は想像もできないほど深刻だ。考えてみよう。私たちはWi-Fiを通じて、どれほど多くの、そして危険な情報をやり取りしてたのか。混乱は、当たり前のことだ。

 

しかし、混乱は問題に対する誤解を起こすこともある。「暗号化してもすべてやられるのではないか!」という怒りをよく見た。結論から言えば、そうではない。KRACKはWPA2セキュリティプロトコルのfour-way handshakeプロセスに非正常的に介入して、無線アクセスポイント(Wireless Access Point、WAP)ではなく、利用者クライアントに影響を与える攻撃であり、プロセスのセキュリティを証明するのに使用される数学、つまり暗号化を無用の長物にしている攻撃ではない。

 

「それではこれからはWPA2を使ってはいけないのか?」

 

これもまた、そうではない。クライアントセキュリティ・アップデートなどに対する確認、そしてアクセスポイント機器のクライアント機能解除などの措置を取らなければならないが、すぐWPA2の使用を中断してはならない。誇張して話すと、代案がない。

 

ふと思い出す昔話

 

第一、裏切り。

 

裏切りは、信じたほど痛い。信頼が深かったら、その分痛い。そのために、相互間に重ねた道義的な信頼関係を壊す行為である裏切りは、さらに悪い行為に取り扱われる。古代から裏切り者は獣とみなした。ダンテの新曲を見ると、地獄は逆に立てた円錐形になっているが、裏切り者はその円錐の一番下にいる。地獄の底には、自分の弟であるアベルを殺したカイン、自分を信じたカエサルを暗殺したブルータス、イエスキリストを裏切ったイスカリオテのユダが地獄で最もあくどい悪魔たちにかみちぎられている。そういう文章を書くほど、裏切りという行為は嫌がれるのだ。

 

第二、スケープゴート。

 

総体的な問題がある。 社会的な、つまりシステムの問題だ。問題を正すか、それとも問題ではないように、お互い合意して解決するはずだが、システム的な問題のほとんどがそうであるように解決が難しい問題だ。そういう時、犠牲物を利用する。古代イスラエルでは、贖罪の日になると羊を立てて、人間の罪をこの羊が代わりに負って去ると宣言した後、荒れ地に追い出したりする風習があった。そのシステムの罪は、羊と一緒にシステムの外に行ったから、罪がすべて消えたという、解決法のない解決策だ。

 

信じて疑わなかったWPA2が裏切った。信じたほど痛い。
しかし、WPA2プロトコル問題を暗号化に負わせるのは、誤解から発生した問題だ。

過去のWEPそしてWPAがそうであったように、WPA2も方式を改めなければならないが、
暗号化は依然として信じられる、事実上唯一のセキュリティ方法だという事実は、変わらない。

automotive cyber security

【コラム】 2017年自動車サイバーセキュリティの現状

2017年自動車サイバーセキュリティの現状

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するために、素早く動いている。 2017年現在、こういう動きは私たちにどういう意味であろうか。


ほとんどの人たちは自動車産業について話すとき、広範囲につながるスマート道路や自主走行車のような未来の自動車について興味を持つ。しかし、製造社と個人は最近生産されている自動車のサイバーセキュリティ問題についてはどう思っているだろう。
最近、日本の自動車製造会社や供給会社の役員たちと自動車セキュリティに関して非常に興味深い対話を交わした。彼らは、自動車セキュリティの必要性と安全がどれほど重要であろうかについて、確実に認識していた。自動車と様々な機器との連結が増えることにより、安全性と顧客の個人情報保護に影響を及ぼしかねない弱点を理解して解決しなければならないと話した。短い対話だったが、彼らのような自動車業界で影響力を持っている人たちが産業の重要性と競争力を維持するための核心要素として、サイバーセキュリティについて考えているという点は、非常に強い印象を残した。


しかし、セキュリティに対する高い理解度を持っていて、それを実践しようとする意志を持っていたとしても、収益性に影響を及ぼすイシューは無視できない。特に、企業で「自動セキュリティ(Auto Security)」を全ての製品とモデルに対して適用するというのは非現実的に見える可能性もある。
例えば、高級車両の場合、中・低価の車両に比べて、より多くのセンサーチップを持っている。多分、ハイエンドサービスは、高級車両での高コストチップを正当化し、収益を創出することができるだろう。しかし、中・低価車両の場合、内在されたチップにセキュリティ機能を付与する場合は、中・低価車両と言えないほど、費用が大幅に上昇する可能性がある。


彼らは「自動車セキュリティ(Automotive Security)」を暗号化機能が含まれた最先端チップのセキュリティと定義しながら、チップの製造会社が情報セキュリティの核心である暗号化のために、あらゆるチップをアップデートしなければならないと話した。しかし、安全なチップを保有しているとして、セキュリティが保証するわけではないし、たとえチップ自体がセキュリティを維持していても、その機能を果たすことができなければ、現時点で役に立たない可能性がある。それで、今必要なことではない。では、今後のコネクティッドカーにはどんな方法でセキュリティを構築しなければならないのか。


現在のコネクティッドカーに内在されている部品の中では必要以上に高いチップが入っている場合が多い。チップが相互通信できるようにするプラットフォームであるCAN通信は、車両のチップの間にどのような種類の通信もサポートできないため、このような目的のための暗号化モジュールを必要としない。実際、CAN通信は、今日の自動車やクラウドサービス、スマート高速道路インフラのような外部に存在する全ての暗号化されたトラフィックをサポートすることができない。それにもかかわらず、暗号化された通信を処理できるチップらがすでに市販されており、チップ製造会社では、新しくて高いチップを売るために血眼になっている。車両内部に最先端チップを使用するのは、もちろん利点もあるが、それに相応するセキュリティ脅威をもたらす恐れがある。


加えて、製造メーカーやモデルまたは費用に関係なく自動車に対する外部攻撃を遮断することが欠かせないことだ。機器、インフラ、他の車両、クラウドなどとの安全な外部通信を促進する安全な外部ゲートウェイは非常に重要である。コネクティッドカーのどんな外部構成要素としても、連結された以上、安全に保護されなければならない。このようなことは、ゲートウェイへのトラフィックをモニタリングし、トラフィックの流れを制御して、悪性トラフィックを検知して、データセキュリティや個人情報を保護することにより実現できる。


近未来に自動車の各部品がセキュリティモジュールを備えるのは多少やり過ぎかもしれない。各チップに暗号化機能を備えるためには、自動車が連結しなければならないすべてのサービスや製品がよりアップグレードされなければならず、同時に、はるかに早い速度の通信が必要である。


しかし、逃してはならない部分は、運転者と自動車周辺要素などを保護するためのモニタリングは必須ということだ。現在として幸いなことは、すべての車両のレベル、ブランド、モデルなどとは関係なしにほとんどのモニタリングが行われているという点だ。また、トラフィックを制御し、車の外部で発生する攻撃を検知することに対する費用は大きく増加しないはずだ。ほとんどの内部構成要素がそのまま維持できるためである。


各構成要素が暗号化された通信およびPKI認証をサポートしなければならない時期がもうすぐ到来するだろう。車両の内部構成要素は、車両外部だけでなく、車両内部でも通信するためである。このような精巧なレベルのセキュリティは現在としては高級型ハイエンド車両で使用が可能である。しかし、現在すべての車両に適用することは多少時間がかかるだろう。


これは、今後、数年以内に発売される自動車が確保しなければならない最も重要な構成要素を考慮した短期的な観点である。この観点は、今日自動車メーカーが直面している実質的な現実、つまり、今後必然的に向き合うビジネスモデルの変化を考慮したものだ。同時に、我々は自動車と運転者、そして周辺環境の安全性の重要性については妥協しない。コネクティッドカーが未来により多くの機能とサービスを提供するためには、コネクティッドカーがどれだけたくさん売れるのかとは関係なく、すべてのモデルに包括的なセキュリティを必要とするだろう。


今日ではなくても、その日は、思ったよりももっと早く来るかもしれない。


本内容は、2017年9月21日ITPro Portalに掲載された「The state of automotive cyber security in 2017」を翻訳したものです。

artificial-photography-119282 (1)

【コラム】 超スマート社会の始まりは、クレジット取引から

 

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超スマート社会」への変化だ。 これは、政府が積極的に推進している公的制度と政策のためにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない現実的対応策を検討しようとする。

 

「マイナンバー」の不安払拭

まず検討するものは、超スマート社会を成す各構成員に対する識別手段である「マイナンバー」だ。2015年10月から施行された「マイナンバー」制度は、まだ定着段階にあるとみられるが、すでに全体社会底辺に大きな変化を起こしている。肯定的には、当初制度を打ち立てる趣旨によって、租税行政及び社会保障などの国家システムが前に比べて、より透明で公正になっているとみられる。一方、否定的には財産追跡を避けるため、銀行ではなく家に現金を保管するいわゆるたんす預金が大幅に増えるなど、社会システム変化の過渡期的な現象も現れている。

 

たんす預金問題は、意外にかなり深刻で、この1年間、3兆円以上増加し、現在43兆円規模だという。この1年の増加額は、日本国内総生産(GDP)の0.6%に該当する規模だ。紙幣相当分が市場で流通せず、すぐにたんすの中に入ったわけだ。その理由をすべてマイナンバーの影響と見ることはできないかも知れないが、たんす預金現象の最も大きな理由と分析される政府の課税強化政策の技術的基盤がマイナンバーということは確かな事実だ。

 

しかも、一部市民団体は、マイナンバー制度の導入前、そして施行中の今までも個人識別番号の情報セキュリティ的な危険性を懸念し、韓国の類似した制度である住民登録番号と関連された頻繁なセキュリティ事故を取り上げながら、不安を訴える。しかし、韓国の住民登録番号は、マイナンバーと似ているようで似ていない。同じ識別番号ではあるが、住民登録番号は該当番号を通じて「識別」と「認証」を一緒に処理しようとして、問題を起こしたものであることに比べて、マイナンバーはただ「識別」だけに使われるので、根本的に安全だとみなすことができる。そして韓国は情報化導入初期には、住民登録番号を、暗号化していなかったから事故が絶えず発生したことに比べて、マイナンバーは制度的に暗号化が必須的だ。したがって、マイナンバーの情報セキュリティ的危険性は、それほど大きくないと見られる。

 

「Society 5.0」変化の不可避性

社会構成員の識別手段であるマイナンバーと共に社会情報化に大きく影響を及ぼすのは、現在の日本政府が「超スマート社会」実現を目標として積極的に推進している「Society 5.0」政策だ。これは、ドイツの「Industry 4.0」政策と似ているようで似ていない。モノのインターネット、ビックデータ、クラウド、人工知能、ロボットなどの先端技術を産業現場特、特に工場に適用することにより、生産性を向上しようとする目的の「Industry 4.0」に比べて、「Society 5.0」はそこからさらに一歩進んで、情報化革新を通じて社会全体を全般的に成長軌道に引き上げるという超巨大計画だ。

 

現在、日本の人口は大きく減少していて、平均年齢は増加している。低い出生率と高い寿命増加がもたらすことになる結果は深刻で、これからは今までそうしてきたように若い労働者たちの負担だけでは社会的な脆弱階層の面倒を見ることができなくなるだろうという判断による決定が「Society 5.0」政策だ。これは、とても現実的判断で、政府の立場で大きな社会変化の推進は不可欠な選択だと考えられる。日本のように自然災害が頻繁な国家でかなり老朽化した産業インフラを保有したまま、労働力が減少するというのは国家において極端に危険なことだから、国家生存のためにも自発的に大きな変化以外は、避ける方法がないということは、ただ、日本だけでなく、今日、全世界のほとんどの国が直面した深刻な問題だ。

 

一応、その方向性だけは本当に正しい。企画者の能力がうらやましいほど適切だ。しかし、いくら正しい方向性であっても、現実的に適切な対策の支えがなければ無用の長物になってしまうだろう。超スマート社会を構築する第1の現実的条件は、信用である。私たちがお互いに信じて相生しようという抽象的な意味での信用ではなく、厳格な電算的定義による信用である。そういう意味で、社会そして国家の情報化という十分な電算的な信用を確保するための総体的努力と見られる。そして、「マイナンバー」そして「Society 5.0」などは、まさにそうした努力の一環だ。そういう意味で筆者は情報セキュリティ専門企業としての自社ビジョンを「開放された社会のための信用、Trust for an Open Society」に設定したことがある。

 

超スマート社会の基盤は、電算的な信用

超スマート社会政策の実際の適用について考えてみよう。そうすると、先に頭の中に浮かんでくるのが電算的な信用の不実さだ。その不実さは、公的制度だけでなく、特に私的システム、すなわちクレジット取引で大きく表れている。日本の商取引文化は、クレジット取引という世界的な動向から大きく離れていて、現金使用に固執してきた。現金の代わりにカードを使っても、クレジットカードではない銀行デビットカードを使用するので、それもまた現金使用の延長線上にあることだ。クレジットカードでは最初から支払うことができない店もよく見られるが、文化的にも電算的な信用が不実な環境だと判断される。

 

現金払いの強要を置いて、事業者の脱税への疑惑を持つのは変ではない。これは、非常に疑われることでもある。しかし、脱税の意図まではなくても、政府によって自分の財産状況が明らかになること自体が嫌な自己保護心理が大きく作用するようだ。過度な国民統制や監視に対する懸念は過ちではなく、国民としてとても当然な権利だと見られる。しかし、先にも述べたように、情報社会への変化、つまり電算的な信用システムの構築は国家生存のためにも避けられないことだけに、懸念の方向を変化そのものではなく、変化要素の適切性に集中することが適切な態度だという気もする。

 

国家的レベルの情報化推進の目的は、行政的な手続きの浪費を除去し、行政効率を向上することで、国民の負担は減らし、利便性は高め、厳格な租税正義を通じて確保した十分な財政で社会保障など国家システムを円滑に運営するためだ。効率的かつ透明な公正社会を実現するための社会インフラの情報的基盤がまさに電算的信用ことだ。これは、政策的側面だけでなく、技術的にもそうだ。たとえば、モノのインターネット技術(IoT)は、究極的には人ではないモノとモノの間の取引にまで至ることになるだろう。このため、ブロックチェーンなどの技術を通じて、事物にも商取引が可能な電算的な信用を付与する研究が進行中にある。これはもうすぐやってくる未来だ。

 

しかし、ほとんどの変化はまるで手の平を返すように急変することではなく、少しずつ徐々に近づいてくるものだ。そのため、大きな変化であっても事前に対策を立てることが可能だ。それでは、今、急を要する問題から調べてみよう。

 

最も急がれる問題は、オフライン電子商取引の現場

あまりにも当然なことだが、最も急がれる安全措置は、最も危険なところからまず保護することだ。クレジット取引の文化定着において、今最も危険なところはよくある誤解とは違って、オンライン電子商取引ではない。オンライン上で取り交わされる信用情報は、各種の関連規制によって相対的に厳しく検証されたインフラを通じて起こるため、オフラインの現場に比べては比較的安全に維持される。一方、オフラインの電子商取引は、実際の取引が起こる現場の数があまりにも多いために、取引に使用されるPOS(Point Of Sale.販売時点情報管理)端末機などのデバイスに対する基本的な安全性さえ十分確保することが難しいという現実的問題がある。

 

オフライン電子商取引の安全が特に重要なもう一つの理由は、消費者そして販売者ともにクレジットカードという実物を通して、取引プロセスに直接参加する、クレジット取引関連行為の中で最も具体的かつ可視的な行為だからだ。したがって、もしオフラインの現場でクレジット取引事故が発生するようになると、それによる社会的な不安が今後の信用社会構築においてとても大きな障害になるためでもある。

 

オフライン電子商取引の現場の中でも特にPOS端末機のセキュリティに集中する必要がある。オフライン取引現場にも安全関連規制があるが、オンライン環境に比べて相対的に管理に盲点が多いしかないため、セキュリティを疎かにする場合が多い。POS端末機の運営体制から見ても、すでに製造会社の技術的サポートを終了した運営体制を使用する場合をよくみられる。最も危険なところにも関わらず、最も管理が疎かにしているのだ。

 

超スマート社会の基盤は、社会構成員各自の電算的信用確保、そして今現在、電算的な信用の安全のための最も至急な措置は、オフライン電子商取引の現場だ。オフライン電子商取引セキュリティの具体的な内容については、以前書いた「POS&CATの決済、財布からサーバーまでデータの流れ」そして「クレジット取引セキュリティ、P2PE暗号化で安全」を参照してほしい。

radek-grzybowski-66457

【コラム】 クラウド時代のセキュリティ、核心だけ簡単に

ITセキュリティ、難しい。簡単なことだって、きちんとやりきれないことだが、難しいことだからさらに難しいし大変だ。

 

わずかサーバ一つ運営しようとしても、しなければならない仕事があまりにも多い。さらに最近はクラウドが人気だ。企業のコンピューティング環境を企業が直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけかというと、そうではない。クラウドサービス提供者は、ハードウェアレベルでのセキュリティは提供するが、アプリケーションやデータセキュリティは相変わらずサービス利用者の役目だ。それで、最近ITセキュリティの核心、本当に必須的な核心だけを簡単に書こうとしている。もちろん、これがITセキュリティの全部ではない。しかし、この程度だけしたら、ITセキュリティ事故の90%ぐらいは軽く防ぐことができる。

 

防げた事故: WAF?

セキュリティ事故の種類は様々である。ニュースを見ても毎日様々な事故が絶え間なく起きるから。数えきれないほど多くの攻撃をどうやって一々防げるか、と最初からあきらめた方がいいんじゃないかと思うほどだ。しかし、最近起きたセキュリティ事故の90%以上はウェブアプリケーションを通じて起きた事故だ。事故の種類はさまざまだが、その始まりはウェブアプリケーション、特にウェブコンテンツレベルでの脆弱性からスタートし、その後、様々な種類の事故につながったものだ。つまり、とっくにウェブアプリケーションファイアーウォール(Web application firewall、WAF)でも稼動していたら充分に阻止できたはずの事故がほとんどである。

 

それにも関わらず、防げなかったら?: 暗号化

にもかかわらず、事故は必ず発生してしまう。これはとても重要な見方であり、認識である。よくITセキュリティというのは、事故が全く起こらないことを前提にしてすることだと思う。
しかし、そうではない。むしろ、ITセキュリティは事故が起こることを前提にしにやることだ。無条件的に完全な防御のみを前提するなら、万一、事故が発生した後、原状での回復力が著しく落ちるため、企業において最も重要なことであるビジネスの連続性を維持することはできない。したがって、事故発生を前提したまま、「問題は回復力」、これが最近のITセキュリティのパラダイムである。世の中のすべての防御網は、開かれる可能性を持っていて、全てのデータは流出される可能性を持っている。それがデータというものの当初の性質である。したがって、データ流出を防ぐために最善を尽くすものの、同時にデータが流出する事態に備えなければならない。そんなことが起きた際にも最悪の状況、つまりデータ内容の流出を防ぐ方法はデータ暗号化だけだ。犯罪者らがデータを盗むことはもし成功するとしても、データの内容を見ることはできないように、つまり盗んだデータを使うことはできないようにしてこそ、被害を最小化することができる。

 

クラウドはクラウドで: クラウドセキュリティ

クラウドコンピューティングに対する疑いは、まだ完全に消えていないようだ。クラウドはまだ完成度の低い技術であり、既存システムの使用と比べて無駄に複雑なだけで、何だか安全ではないようだという否定的偏見が依然としてある。しかし、これはまだクラウドを使ったことのない人々の誤解であるだけで、実際にクラウドを導入し、使用してみた企業は態度が完全に反対に変わり、ほめ言葉ばかり言う。特にクラウドを通じて新規アプリケーションやサービス適用にかかる時間は前と比べることができない程度に短縮され、維持・保守費用も大きく削減されたと満足する。そしてまだクラウドに転換していない企業は、既にクラウドに転換した企業のビジネス速度に追いつくことができないだろうと大声で話す。やはり、今の時代はクラウドだ。

それで、最近はサーバなどの電算システムを直接管理しない企業が多い。そして世界的にとても有名で巨大なクラウド会社が代わりに引き受けて処理してくれるからセキュリティ問題も絶対ないだろうと信じている。しかし、これはとても深刻な誤解である。クラウドサービス提供者(プロバイダー)は、ハードウェア及びネットワークレベルのセキュリティだけ提供する。アプリケーションやデータセキュリティに対する責任はサービス使用者の役目だ。これは真っ暗な秘密でもなく、サービス製品説明書にも明確に書かれている事実である。それでは、一体何をどうすれば良いか。例えば、ウェブアプリケーションの保護のため、以前のようにWAFハードウェアを直接設置して運用できない時にどうすれば良いのだろうか。

クラウドはクラウドで防ぐ。クラウド環境に合致するクラウドセキュリティシステムを適用することができるし、複雑なインストールプロセスなしにただ何回かクリックで、既存のハードウェアWAFと同一のクラウド・セキュリティ・サービスを提供してもらうこともできる。

 

スタートアップのセキュリティ: クラウド・セキュリティ・サービス

とても重要なテーマがまた一つある。スタートアップである。スタートアップは破壊的な革新とアイデアを通じて、短期間で超高速の成長を志向する新生企業であり、たいてい自由な企業文化を誇る。これはすなわち、セキュリティや安全にあまり気にしていないかもしれないという認識と繋がっている。実際、スタートアップでのセキュリティ事故は絶えず起きている。事業拡張とマーケティングに集中しているため、セキュリティの問題を考える時間がないかもしれない。その後、他のスタートアップがセキュリティ事故のせいで崩れる姿を見てからやっとセキュリティの必要を悟ったりする。

しかし、悟ってばかりいる。

しかし、規模が小さなスタートアップが大手企業レベルのセキュリティシステムを整備する方法がないという訴えも無視できない。大手企業レベルのセキュリティシステムはお金がとてもかかる仕事なのに、事業を始める時からお金をたくさん持っているスタートアップはほとんどないから。しかし、方法はある。クラウド時代なので、ITセキュリティもまたクラウドサービスで提供される。クラウドサービスとは、ネットワークを通じてコンピューティング環境と機能を提供するサービスだ。技術的な言葉で言うと「弾力的オンデマンド仮想マシン」であり、したがって、使用量によって資源量が増えたり減たりする柔軟性を持つため、サービスを使用した量だけ費用を支払えば良い。最近は、企業情報セキュリティの最も重要な3大要素であるウェブセキュリティ・データ暗号化・認証セキュリティ全部クラウドサービス形態で提供されるため、スタートアップであっても大手企業レベルのセキュリティの力量を持つことができる。

 

クラウド時代のセキュリティ?

要約すると、

-事故は、ほとんどがウェブアプリケーションで起きる。WAFを利用して防止しよう。
-にもかかわらず、事故が起きた場合、データ暗号化を通じて最悪の状況を避ける。
-ITセキュリティシステムを直接運営できない状況なら、クラウドセキュリティを適用しよう。
-費用のせいでセキュリティを十分にできないスタートアップであれば、クラウド型WAFサービスを使おう。
クラウド時代のセキュリティ、こうすれば良い。

nissan-885309_1280

【コラム】自動車会社が本物のソフトウェア会社になるためには

自動車会社の技術者と自動車セキュリティ関連の会議をするとき、前に比べて雰囲気が相当変わったことを直感する。何だか重工業系にはハードルの高さがあり、高い壁のように感じられたが、このごろは結構ソフトになった気がする。「自動車会社は、ソフトウェア開発会社」の宣言前後、確実に変わったようで、言葉が人の心に及ぼす影響は本当に大きいな、と改めて驚いた。そして、今日の自動車の技術的性質から見て、これは非常に肯定的な変化だと考えられる。

ところで、会話が原論的なレベルから実務的なレベルに移動するころ、確実な変化に到達するにはまだ早い気もする。頭の中では、「そう、ソフトウェアだ。」と考えを改めたとしても、身にくっついた癖を変えることはなかなか容易なことではないらしい。相変わらず自動車産業はソフトウェアではなく、ハードウェアの組立産業として認識される。そのため、ある問題についても組立の単位である部品を中心に考える癖が残っている。自動車セキュリティ問題もまたどんな部品の機能ぐらいに考える傾向がある。ソフトウェア的に考えると、これはかなり間違った認識だ。

ここで、現場でよく聞かれる質問に答えることで、「自動車=ソフトウェア」の等式を改め考えてみよう。

 

「自動車部品にどのようなセキュリティ機能を搭載しなければならないのか?

原論的に言えば、セキュリティは「機能」ではない。

ソフトウェアの世界では、セキュリティ自体を必要によって追加する付加的機能とは思わない。いつもセキュリティを考慮し、システムを「設計」しなければならない。セキュリティを無視する開発者は、結局大きな問題を起こしてしまう。決定的に、セキュリティに関する機能があるとしても、そのソフトウェアが自然に安全になることもない。総体的に安全なシステムを設計することがセキュリティ的に最も重要なことだ。

実務的な目線から考えても、セキュリティ機能が必要な部品があり、またそうではない部品がある。自動車の通信領域を大きく「内部(Internal)」と「外部(External)」、この二つに分けてみると、内部通信領域に該当する部品は大体特別なセキュリティ機能を別途に追加する必要がない。主に「CAN(Controller Area Network)」で通信し、自動車走行に関連する各種の装置を制御する内部ECU(Electronic Control Unit)がこれに該当する。それらはセキュリティ機能の追加ではなく、外部の危険からの「隔離」が必要なことである。セキュリティ機能は、CCU(Communication Control Unit)を通じて車の外部と通信する領域に搭載して徹底的に管理するのが一般的に適切な設計だ。外部通信と直接関わる「テレマティックス(Telematics)」や「インフォーテインメント(Infotainment)」などがこれに該当される。

特にECUの中、駆動装置やブレーキ装置など自動車の走行と直接関わる部品は最初から与えられたそれぞれの目的に充実した単純な四則演算のみを遂行することがソフトウェア的にはむしろ安全だ。単純なことは、単純であるべきだという意味だ。安全に設計されたシステムであれば、米国の自動車セキュリティ及びプライバシー保護「SPY CAR(The Security and Privacy in Your Car)」法案でも言及しているように、セキュリティが必ず必要な領域とセキュリティが不必要な領域を安全に分離したシステムであれば、MCUなどの部品には暗号化や鍵管理などのセキュリティ機能を別途に搭載する必要はない。むしろ無駄な複雑性のために予期せぬ誤作動などの危険性ばかりが高まるのだ。

 

「コネクティッドカーためには全ての部品にセキュリティ機能を搭載しなければならないと?

いや、むしろ安全のためにも避けるべきことだ。

「コネクティッドカー」とは、無線通信を通じてナビゲーション、リモートコントロール、インフォーテインメント、自律走行などのサービスとして、自動車を単純な輸送手段の概念を超えて情報通信機器として変化させる技術を通称する概念である。上記のとおり、自動車の外部通信に関わる問題だ。内部通信領域とは分離して考えなければならない。

簡単に言えば、「コネクティッドカーセキュリティ」とは、自動車内部のECU間の通信を外部通信から隔離することで安全に守ることだ。つまり、車の外部から内部装置を任意で操作することは不可能でなければならないという意味だ。そのため、コネクティッドカーのために「全て」の部品にセキュリティ機能が搭載されなければならないというのは意味がない言葉である。正確に分析されたセキュリティ的な必要性に応じて、必要であるセキュリティ機能だけを必要である適材適所に適用すること、すなわち、安全なシステムの設計こそ自動車のソフトウェア的完全性を成し遂げる正しい方法だ。

 

「それなら、なぜそんなにセキュリティ部品を買わなければならないと言うのか?」

まずは、自動車セキュリティ技術の全般に対する理解不足であると考えられる。部品企業の事業戦略的な必要も疑ってみることができるのだろう。「電裝(E/E、Electrical/Electronic Components)産業が自動車産業の未来」という言葉は全く過言ではない。自動車製造の原価で電装部品が占める比率は、現在35%くらいで、すぐ50%を超えると予想される。それで、全世界に渡って競争がとても激しいというわけだ。当該市場の既存の強者たちだけでなく、後発走者の世界的な電子企業が莫大な資本力を武器として、徐々に拡張する電裝市場を狙って飛びかかる。

例えば、韓国のサムスン電子が米国のオーディオ専門企業でありハマーン(Harman)を80億ドルに買収したことも、電裝事業の未来価値のためである。つまり、自動車会社の立場からもそんな部品会社に事業的に従属されないためにも、電装部品を直接生産する計画を立てざるを得ない状況だ。そのため、既存製品とは異なる技術的な特殊性が誇張されるものであるだけで、その特殊性が実際に必要なのかとは全く無関係な話だ。自動車セキュリティの技術の観点から見ても、不必要な演算を浪費するだけだ。

 

「コネクティッドカー時代に備え、自動車社はどんな仕事をしなければならないのか?

答えは、セキュリティだ。つまり、安全なシステムの設計だ。10年後、最も重要なIT技術は自動車セキュリティだろうと展望する。ソーシャルネットワーク、クラウドコンピューティング、ビックデータ、IoTなどのあらゆる技術よりも自動車セキュリティがよほど重要だ。他のものに比べ、自動車セキュリティは、人の命がかかっていることだからだ。いくらよくやってきたとしても、一回のミスで企業の存亡まで危険になる恐れがあるのだ。コネクティッドカーは、ハードウェア及びソフトウェア的にもまずは安全でなければならない。便宜性などその他の性質は、安全性より優先的にはなれない。

そして、ソフトウェア的な完全性に挑戦しなければならない。過去の自動車は、「機械装置」だったが、未来の自動車は「電子装置」だ。今も車両1台に100個ぐらいのECUと1億行ぐらいのコードが搭載される。高価の車両であればあるほど、搭載された電装部品の数が多く、「もっと多くのコードを入れた」と自慢らしくない自慢をしたりもする。しかし、統計的に見ると、商業用ソフトウェアは一般的にコード1,000行に7つのバグを持っている。これを考えると、自動車には10万個のバグがあると仮定することができる。今も絶えず発生する原因を知らないあらゆる事故がこれと全く関係がないとは言えないだろう。だから、ソフトウェア開発社がそうであるように、ソフトウェアとしてのクオリティ管理とプログラムの動作には変化なくプログラム内部の構造を改善するリファクタリングなど、事後確認作業を通じてソフトウェア的最適化に集中することを勧める。そんなことをきちんとこなすだけでも現在原因不明の問題が大幅に解消すると予想する。

そして改め強調するが、従来のハードウェア組立産業のパラダイムから抜け出せなければならない。
自動車会社は、ソフトウェア開発会社として、自動車を「安全なシステム」で「設計」することに集中しなければならない。その仕事は、部品会社など他の誰かが代わりにしてあげられないことだ。これまで自動車は高価な部品と安い部品で完成品の価格を調節した。従って、値段が10倍以上の差がある製品群が成立可能だった。10倍高いが、10倍もっと良いオーディオは可能だ。しかし、10倍安全なセキュリティは可能なんだろうか。最も高い車より10倍安いからといって10倍不安な自動車を販売することになるのか。安全のためにも、自動車セキュリティの問題は部品基準の考え方で解決できる問題ではない。部品とは関係なく、安全なソフトウェアシステムを設計し、これを低価の車と高価の車に全部適用すべきことだ。

 

「自動車社は、ソフトウェア開発会」、そうなることを期待し、また応援する。

networking-1626665_1280

【コラム】順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

一般の企業で会社の情報セキュリティを担当しているKさんは、このごろ悩み事が多い。個人情報保護法の遵守のため、個人情報が保存されている業務システムに暗号化製品を導入して適用しようとしている。暗号化製品を設置すれば、個人情報保護法の遵守は問題ないが、業務システムの性能が低下する可能性があり、心配が大きい。
その時、偶然「OPE」という技術を採用したという暗号化製品の広告を見ることになる。OPE技術がどのような技術かは分からないが、暗号化後にもDB検索の性能低下がないという説明が大きく伝わってくる。OPEという名前が「Order Preserving Encryption」だから、暗号化(Encryption)も性能低下も解決するということで自分の悩みを一回で解決してくれそうだ。

 

個人情報の保護のため、DB暗号化製品を導入するケースが増え、上記の話のようにOPEに対する関心が高まっている。
「OPE(Order Preserving Encryption)」は、どのような技術であり、どれほど安全なのか。個人情報保護の安全性と性能低下の克服の二兎を得る技術であるかを調べることにしよう。

 

手順を維持する暗化は根本的に危

 

DB暗号化は、個人情報保護のための必須技術と認識されている。DBサーバに暗号化を適用すると、DBサーバに保存されるデータを暗号化して保存し、データを照会する際には暗号化されたデータを復号した後に使用者に対して提供される。DBサーバは暗号化と復号のための処理演算を追加で遂行しなければならないため、速度低下が避けられない。暗号化の適用によるDBサーバの性能低下問題は、暗号化アルゴリズムの効率的な実現技術で解決できる。

DB暗号化でさらに重要な問題は、検索の索引を生成する問題である。検索の索引は、DBに保存されている膨大なデータの中から必要なデータを迅速に照会するために使用されるDB内部の追加情報である。暗号化されたデータから希望するデータを検索するには、暗号化になる前のオリジナルデータを知らなければならないため、暗号化されたデータを全部いちいち復号しなければならない。希望するデータを一つ照会するたびに、膨大なデータをすべて復号しなければならないため膨大な演算量の負担が発生するしかない。これを解決する方法のひとつが、「順序保存暗号化(Order Preserving Encryption、以下OPE)」だ。

OPEは、かなりずいぶん前から存在していた技術だ。OPEの歴史を遡ると、第一次世界大戦から使用された「One-Part Code」技術がOPEの始祖といえる。暗号化されたデータについても、DBの検索索引を容易に作れるという特長のために2000年代からDBMS業界で注目され始めた。2004年には、R.Agrawalを含め4人のIBM研究員たちが最初にOPEという用語を定義した。彼らはOPEの概念に対する数学的モデルと実現に対する方向性を提示したが、安全性に対する具体的な言及や証明をしなかった。
(参考文献:R.Agrawal、J.Kiernan、R.Srikant、and Y.Xu、「Order-preserving encryption for numeric data」、SIGMOD 2004、pp.563~574)

 

データを迅速に照会するためには、データを順に整列しておかなければならない。例えば、数百万人のマイナンバーの中から自分が探すマイナンバーが含まれているかどうかを容易に探す方法は、マイナンバーを13文字の自然数と見て大きさ順に整理しておくことだ。しかし、この方法は暗号化後には使用できない。暗号化は、オリジナルデータを予測できない任意の値に変換する過程なので、暗号化されたデータはオリジナルデータとは全く違う順番に整列されるしかない。暗号化を適用しても、暗号化したデータがオリジナルデータと同様の順番に整列されるようにしてくれる方法がOPEである。大きさが小さい順に整列された数字データ1234、3456、5678という三つの数字があると仮定する。一般的な暗号化を適用すれば、三つの暗号化された数字間の順序が巻き込まれる。OPEを適用すれば、1234の暗号が3456の暗号より前に整列されて、3456の暗号は5678の暗号よりもリードすることになる。

順序保存暗号化という名称のように、果たしてOPEは安全な暗号化だろうか。安全な暗号化は、暗号文からオリジナルデータに関するいかなる情報も得られないべきだ。OPEは、暗号文で「順序」という情報を得ることができ、これをもとに、平文を類推することができる。上記で説明した1234、3456、5678の例に戻ってみよう。1234の暗号文(A)と3456の暗号文(B)を知っていれば、暗号文Aと暗号文Bの間に整列される暗号文Cは1234と3456の間にある値から作られた暗号文であることが把握できる。この場合、暗号を解読しようとする攻撃者が1234と3456を知って、二つの数を暗号化した値(暗号文A、B)たちも知っているため、このような攻撃方法を「選択平文攻撃(Chosen Plaintext Attack;以下CPA)」という。

安全な暗号アルゴリズムは、CPA攻撃モデルを採用した攻撃者が暗号文Cがどんな数字を暗号化したかを区分できない「非区別性(Indistinguishability)」を満足しなければならないが、OPEはこれを満足しないために安全な暗号化とは言えないのだ。したがって、OPEはDES、AES、SEED、ARIAなどと同じ普通のブロック暗号化アルゴリズムと肩を並べそうな高いレベルの安全性を備えていない。世界の情報セキュリティ関連の標準でOPEを見られないことも、このような理由だ。

 

「順序保存を提供する安全な暗号化は不可能なのだろうか」


という問題を解決するために、米国のジョージア工科大学(Georgia Tech)のボルディレワ(Boldyreva)教授を含めた4人の研究者たちが2009年の研究結果を発表した。
(参考文献:A.Boldyreva、N.Chenette、Y.Lee、A.O’Neill、「Order-Preserving Symmetric Encryption」、EUROCRYPT 2009、pp.224~241.)

ボルディレワは、制限的な環境ではOPEの脆弱攻撃であるCPA攻撃をある程度のレベルまでは防御できると証明した。尚且つ、制限条件でOPEにCPA攻撃をブロック暗号化アルゴリズムと同等のレベルに防御することは現実的に不可能というのも明らかにした。つまり、単純アルゴリズムの改善だけではこれ以上の安全性を期待することは難しいということだ。

アルゴリズム自体だけではCPA攻撃から逃れることはできないので、「どう実現するのか」が業界の主要関心事として浮上している。現在、大半のセキュリティ会社がOPEの安全性を補完してくれる技術およびセキュリティデバイスをともに使用し、OPEの脆弱性を補完するために努力している。OPEと共に他の検証を受けた暗号化アルゴリズムを使用したり、順序情報のみをさらに暗号化することなどをその例に挙げられる。しかし、このような状況についてよく知らない一般人たちは、「順序の保存暗号化」という名称だけを信じてOPEを他の暗号化アルゴリズムのように安全性が高いと考えやすい。

実際、ある会社ではOPE技術の安全性を誇大に評価して業界の非難を買ったりした。したがって、OPE関連ソリューションを選択する時には、製品内にOPEの安全性を補完してくれるセキュリティデバイス及び技術があるかを調べた後製品を選択しなければならない。特に、CPA攻撃は攻撃者が暗号化システムに容易にアクセスできる時に主に発生するので、製品にこのような弱点はないかを確認しなければならない。

 

暗号化を必要とする応用は様々だ。安全度が高いレベルで要求される応用がいれば、安全度が高くなくても大丈夫な応用もあり得る。OPEの場合、安全性を一部犠牲にして性能を選んだ応用と見られる。コラムの冒頭に仮想シナリオの主人公だったKさんのように、個人情報保護を必要とする応用では、長期間検証され高い安全度を保障してくれることができる標準的な暗号化技術が必要である。OPEは、オリジナルデータの順序が暗号化後も維持されるというメリットがあるため、データ検索などでは有用な技術であることに違いないが、安全性には限界があるということを忘れてはならない。

したがって、セキュリティ業界はOPE技術を適用する場合、安定性が脆弱な部分と程度については、ユーザに正確に知らせなければならない。一方、使用者は従来のブロック暗号化アルゴリズムと同レベルの安全な暗号化を提供したりはしないということを理解して、安全度よりも性能が重要な応用に選択的に適用するようにする。それとともに、足りない安全度を補完してくれるセキュリティデバイス及び機能が製品内に搭載されているかを是非検討しなければならない。