IoTデバイスにE2Eセキュリティが必要な理由とは?
「IoT(Internet of Things、モノのインターネット)」といえば、スピーカーや冷蔵庫などの物事をインターネットにつなげて、使用者個人の好みと必要に合わせて使用するインタラクションの利便さなどが浮かび上がります。しかし、IoTデバイスの日常的な便利さへの期待が高まった分、懸念もあると思います。最近のハッカーは、セキュリティが脆弱なIoTデバイスを狙うからです。IoT技術の利便さを完全に利用するためにはIoTデバイスがインターネットにつながる最初の瞬間から安全である必要があります。つまり、セキュリティ設計に対するE2Eアプローチが必要です。
E2E(End-to-End)セキュリティとは?
名前からも分かるように,E2Eセキュリティは、製品やサービスの最初から最後まで完璧なセキュリティを確保することであり、セキュリティプロトコルで全ての通信を保護し、他人の侵入可能性を最初から除去することです。IoTセキュリティへのE2Eアプローチ方式を適用すると、データの変造やスヌーピング、デバイスの奪取攻撃など、IoTデバイスの一般的なセキュリティ問題を解決するのに役立ちます。
*参考記事≫
家を安全に守るのは、IoTインフラの力?
E2Eセキュリティについて知るために、まずはIoTインフラの規模と連結性を理解することが必要です。IoTでは、4つの主要階層が保護されなければならないのですが、第1階層は、スマート冷蔵庫、スマートロックなど、物事がインターネットに繋がっているIoTデバイスです。第2階層は、サーバに転送される情報を収集するIoTゲートウェイです。第3階層は、収集された全タイプのデータを管理するサーバです。最後の第4階層は、全システムの基盤を形成するインフラです。
IoTデバイスを使用するユーザが上記に言及した4つの階層をすべて揃え、直接保護することは不可能なことです。したがって、供給者と開発者がIoTセキュリティに関する相互標準の下、各階層別に十分なセキュリティを備えなければなりません。
技術的な観点から見ると、伝統的(レガシー)セキュリティ技術は、相変わらずIoTセキュリティ技術と関連性が高いです。言い換えれば、IoTセキュリティにおいてもデータ完全性や認証管理など、ネットワークセキュリティのための暗号化など、従来のセキュリティ技術が必需的です。もちろん、これらの技術は、IoT環境に最適化されたソリューションと統合される必要があります。
まだ、IoTセキュリティでE2Eセキュリティが考慮されていない理由とは?
上記で説明したように、IoTセキュリティは結局全プロセスを保護する、E2Eセキュリティが必要ですが、まだIoTセキュリティにおいてこのような動きは活発ではありません。その理由は何でしょうか。
- 低価の統合部品の低いセキュリティ
データ伝送や無線接続を可能とする基本的なセンサーなどが格安な価格で普及するため、「全」デバイスにインターネットを適用することは極めて簡単です。つまり、IoTデバイスを簡単に作れるという意味です。この時、製造会社が見落としやすり地点がセキュリティに対する投資です。カメラ、ルータおよび他のスマートデバイスに基本的な暗号の代わりに、固有のクレデンシャル(情報システムの特定応用で使う暗号学的な個人情報)を指定するだけで、セキュリティレベルはさらに高まります。
- 効果的な規制の不足
世界中の政府機関から「製造会社がセキュリティが内在されている製品を作るべき」という指針を発表しましたが、ほとんど効力がありません。例えば、米国議会では、"2017モノのインターネットのサイバーセキュリティ改善法案(Internet of Things Cybersecurity Improvement Act of 2017)"を提出するなど、IoTセキュリティに対して議論しました。政府納品のIoTデバイスに対して、最小限のセキュリティ装置の義務化など、提案の適切性は高く評価されましたが、ユーザが基本のパスワードを変えて使用しなかったり、適切な時期にパッチを適用しなければ、セキュリティは相変わらず脆弱であるだけです。規制の有効性は、製造会社はもちろん、使用者の立場からのIoTセキュリティも考慮しなければなりません。
- IoTセキュリティに対する使用者の認識不足
ほとんどの使用者が忘れているのがあります。それは、IoTデバイスはいつもネットワークにつながっているということです。したがって、ほとんどのIoTデバイスは電源を入れる瞬間からセキュリティを保たなければなりません。一般的なITデバイスとは異なり、IoTデバイスに対するセキュリティ責任は、デバイスの使用者のみならず、製造会社や製品設計者お、サービス供給者まで、みんなの分となります。つまり、セキュリティに対する使用者たちの認識を基に、IoTネットワーク全般にわたる総体的なセキュリティ実装の考え方が変化していかなければなりません。
スマートスピーカーからコネクテッドカーに至るまで、IoTは人間と技術がインタラクションする方式について、再度考えさせます。忘れてはいけないのは、連結性が拡大されれば拡大されるほど、危険性も高くなるということです。多様で強力なセキュリティ機能が搭載されたPCもセキュリティ脅威にさらされているのに、小さくてセキュリティ機能も不十分なIoTデバイスはどれほど危険でしょう。その不安なデバイスが全てネットワークに繋がっているということは、複数の階層の中でどれか一つでも問題が発生したら、ネットワーク全体が被害を受けるという意味です。そのため、IoTセキュリティは単なるIoTデバイスのセキュリティだけを意味するものではなく、ネットワーク全体のセキュリティといえます。デバイスが小さく、あまり重要なものではないとしても、セキュリティ問題もそういうわけではありません。
新しい技術の恩恵を享受するためには、IoT環境に対する信頼の構築が優先されなければなりません。そのためには、IoTセキュリティを設計する時、最初から最後までセキュリティを考慮する、「E2E考え方」が必須です。
