コミュニティの力でIoTセキュリティを強くする

本記事は、内閣サイバーセキュリティセンターの2018年サイバーセキュリティ月間「サイバーセキュリティ ひとこと言いたい！ 」に寄稿したものです。

あらゆるモノがインターネットにつながるIoT（Internet of Things）の家電が当たり前のように生活に密着するようになりました。

身近なIoT機器では、スマートフォンを使って、外出先からエアコンを遠隔操作したり、ビデオを録画予約したり、Webカメラで自宅のペットや子供の様子を見守ることができる製品が販売されています。最近登場した、音声で操作できるスマートスピーカーなども、IoTの要素技術から誕生したIoT機器の一つですね。

産業機械から消費財まで私たちの日常を構成している「モノ」がネットワークに接続され、データが収集されています。今後のIoTでは、収集したデータとAIなどの自律化技術（※）を用いて、車の自動運転やウェアラブルデバイスによる健康管理、農業分野では土壌の環境管理など、世の中をますます便利にするIoTの仕組みが期待されています。

その一方で、IoT機器はサイバー攻撃によっては我々の日常生活に直接的に被害を与える危険性が潜んでいます。

エアコンが点いた時間が漏れると何が問題なのか？と思う方もおられるかもしれません。しかし家電の利用状況が漏洩すると自宅不在の判別ができてしまい、空き巣被害に遭う可能性も考えられます。自宅のWEBカメラやスマートスピーカーが盗聴されたりしたらどうでしょう。

実際に2016年9月には、ルーターやWebカメラなどのネットワーク接続機能を備えた機器をターゲットにしたマルウェア「Mirai（ミライ）」が蔓延し、感染した機器による大規模攻撃が観測されました。

今後も新たな攻撃が次々に登場してくるでしょう。IoT機器の開発におけるセキュリティは、我々の生活の重大リスクに関連する急務の課題なのです。

これらの新たな攻撃を対策するには、対症療法ではなく「IoT機器の設計段階において、セキュリティをデザインすること」が重要です。そのためには、ハードウェア、ソフトウェア、クラウド関連など複数の技術にまたがった非常に幅広い知識が求められます。しかし、広い技術範囲に加えて日々革新されていく関連技術のすべてを、個人や企業1社でカバーすることが困難なのが現実でしょう。

幅広い技術を効率的に習得し最新の情報を得るためには、エンジニアがどんどん社外へ出て行くべきだと私は考えています。エンジニア向けのイベントやベンダ主催のユーザー会、ボランティアの勉強会では多くの有益な情報が得られます。 コミュニティを通じてエンジニア同士が情報発信し、知見を共有し合うことがエンジニアの成長につながり、そしてサイバー攻撃からIoTシステムを守ることにつながると信じています。

私自身も、IoTのセキュリティに関する啓発や診断技術に関する情報交換を行うことを目的として、「IoTSecJP」というコミュニティを仲間とともに立ち上げました。過去に行った「IoTSecJP」では、幾つかのチームに分かれてウェブカメラの脆弱性を探すハッキングコンテストを行いました。遠方からも参加された優秀な学生と現役エンジニアが互いに協力し、脆弱性を見つけ、みごと攻撃を成立させるなどの大変充実した内容となり、参加者からも大きな反響がありました。

このようなコミュニティを通じて多くのエンジニアが学び、コミュニティと共にIoTセキュリティ業界が盛り上がることを願っています。
最近は更なる情報交換の場として「IoTSecJP」のSlackも立ち上がりましたので、興味がある方は是非参加してみてください。

※自律化技術・・・状況に応じて機械が自ら判断し、適応する技術のこと