PR

ニュース 経済

5GとIoTに潜むセキュリティリスク 全てが“つながる”ことの危険

Messenger

 今日、インターネットを使う上でのセキュリティリスクといえば、多くの人が真っ先にPCやスマートフォン、そしてサーバへの悪意ある第三者による攻撃を思い浮かべるのではないだろうか。

 さまざまなケースがあるが、マルウェアなどを介してPCやスマートフォンといったデバイスへの侵入を果たし、そこでやりとりされる個人情報や企業機密を盗み出す行為の他、侵入したデバイスを踏み台に、さらに他のデバイスや企業内サーバへの侵入を試み、より多くの情報を盗み出したり、直接的な損害を与えたりするパターンが多い。

 実際、こうした攻撃により大規模な情報漏えいが発覚したケースは毎月のように報告されている。2010年以降に世界で起きた大量情報漏えい事件を振り返ってみても、数千万件や1億件程度の流出が毎年発生しており、過去最大規模となった米Yahoo!で30億件(2013年)、直近ではホテルチェーンの米Marriottで5億件(2018年)と、膨大な情報の流出は止まらない。

米CSOがまとめた「21世紀の18大情報漏えい事件」より。大規模な情報漏えい事件は続いている
米CSOがまとめた「21世紀の18大情報漏えい事件」より。大規模な情報漏えい事件は続いている

 また攻撃者がハッキングを行う目的は、過去10~15年ほどの間に大きく変質し、ほぼ金銭獲得にシフトしている点に注意する必要がある。かつては愉快犯や腕試しの要素が強かったものが、今や盗んだ情報の売却による利益獲得や産業スパイ、そしてランサムウェアのように情報を人質にして直接的に金銭を得る方法までさまざまだ。マルウェア対策も進んでいるが、同時に変種の数や登場するスピードも増し、イタチごっこは今後も続く。

 一方で、こうした流れとは異なる形で脅威となりつつあるのが「IoT(Internet of Things)」の世界でのセキュリティだ。

 昔ながらの言い方では組み込み機器のことだが、これらが直接インターネットに接続されるようになることで、新しい機能や役割を得る。外部との通信がない閉じた世界であれば、問題は比較的少ないだろう。しかしインターネットに接続されることで、従来は矢面に立っていたデバイスやサーバと同じ脅威にさらされることになるわけだ。

 特にマルウェアが日々進化するように、セキュリティ対策の世界も日々進化し、ソフトウェア技術の重要性が日増しに高まっている。従来は稼働して10年かそれ以上……という組み込み機器も珍しくなかったかもしれないが、IoTの世界、さらには間もなくやって来る5Gの時代ではまるで異なる。

 本稿では、IoTとそれを支える5G通信の時代におけるセキュリティ上の脅威や対策について考えてみたい。

 増えつつあるIoTへの攻撃、全体の半数というデータも

 IoTへの攻撃は増えつつある。情報通信研究機構(NICT)が2018年2月に公開したデータによれば、IoT機器をターゲットにした攻撃は54%に達し、全体の半数を超えた。

 理由は2つ考えられる。1つはIoTとしてインターネット接続される機器の台数がPCなどに比べて多いこと、2つ目はソフトウェア的なアップデートが行われず、購入後そのままの状態で放置されている傾向が強いことだ。

 NICTの例では、Webカメラやルーターなどが挙げられているが、比較的最近話題になった「Mirai」というマルウェアでは監視カメラやデジタルビデオレコーダー(DVR)で広範囲に感染し、米国で大規模インターネット障害を引き起こしたことが知られている。

 Miraiは「ボットネット(Botnet)」と呼ばれるマルウェアに感染した機器同士で構成されるネットワークを構築し、命令者の特定のコマンドで一斉に動き出す。主に米国郵便公社(USPS)や国防総省(DoD)をターゲットとしたDDoS攻撃を一斉に仕掛け、結果として都市部を中心とした大規模なインターネット障害を引き起こした。

IoT機器をターゲットにした攻撃は増えつつある。NICT「NICTER観測レポート2017」を基に総務省が作成した「平成30年版 情報通信白書」より。
IoT機器をターゲットにした攻撃は増えつつある。NICT「NICTER観測レポート2017」を基に総務省が作成した「平成30年版 情報通信白書」より。

 個々の機器は単機能でネットワーク帯域をそれほど消費しないとしても、数の暴力でネットワークをまひさせることは十分に可能だ。特にIoTと呼ばれる機器では同じ型番の製品が数万や数十万単位で存在し、それらが同じセキュリティホールを抱えたままインターネット上にさらされていることになる。

 1つの機器への攻撃方法が見つかれば、同様にインターネット上を総なめする形で同じ攻撃が可能なわけで、より大規模なものになりがちだ。やや古いデータではあるが、英Gartnerが2017年2月に出した予測では、2020年までに200億台のIoTデバイスがネットワーク接続されることになるという(数字には諸説あり、300億台とも)。

 いずれにせよ、PCで1桁億台、スマートフォンなどモバイル機器で2桁億台がインターネット接続されているとすると、少なくともIoTの世界は2020年時点でその上の3桁億台に到達しており、ネットワーク全体に与えるインパクトも相応に大きい。一度接続された機器が長らく放置されることを考えれば、セキュリティ対策は急務といえる。

 IoTセキュリティをサービス化するビジネス

 こうした中で登場してきたのが、IoTセキュリティをサービスとしてしまうビジネスだ。現在はまだ家電や監視カメラなど比較的限定された製品での展開が多いIoT機器だが、今後はさまざまな企業が独自の機器を開発し、おのおのの目的に沿ったアプリケーションを記述してデータを日々収集したり、遠隔で制御したりすることが増えてくる。

 ただ、これらは市販品と比べて展開される機器の数も少なく、開発にかけるリソースの比重の問題からセキュリティ対策が必ずしも万全ではない可能性があり、被害の拡散が少ない反面、攻撃に対するリスクは高いといえる。

 稼働するアプリケーションも日々のデータの収集だけでなく、重要なインフラ制御にまつわるものだった場合、インターネット上の障害だけでなく社会的な混乱や大きな被害をもたらす結果になるかもしれない。

 IoTのセキュリティ対策を盛り込んだソリューションは、大手ITベンダーも提供し始めている。米Microsoftが2018年春に発表した「Azure Sphere」は、IoT機器制御用のチップとOS、セキュリティ対策を含むクラウドとの連携を助けるサービスまでを含めた「三位一体」のソリューションだ。

米Microsoftの「Azure Sphere」利用例。イベントの展示会場に出現した出張Starbucks Coffeeの店舗には2台のバリスタマシンが設置され、それぞれがAzure Sphereでインターネット接続されていた
米Microsoftの「Azure Sphere」利用例。イベントの展示会場に出現した出張Starbucks Coffeeの店舗には2台のバリスタマシンが設置され、それぞれがAzure Sphereでインターネット接続されていた
バリスタマシンの稼働状況は、常にAzureクラウドを介してリアルタイムで確認できる。不正なアクセスなどもモニタリングが可能だ
バリスタマシンの稼働状況は、常にAzureクラウドを介してリアルタイムで確認できる。不正なアクセスなどもモニタリングが可能だ

 同種のサービスには米Amazon.comの「FreeRTOS」のようなものもあるが、IoTはクラウド連携が重要である一方で、ここがセキュリティホールとなる可能性が高いことも示している。

 例えば、IoT機器はリモートでの初期化やアップデートのために、いわゆるOTA(Over The Air)的な仕組みが組み込まれていることが多いが、この仕組みを悪用することで機器の乗っ取りを成功させるケースがある。

 今後IoTで「eSIM」のような組み込み型SIMに契約情報を書き込んで携帯キャリアのネットワーク経由でインターネット接続を実現する場合、これを利用した攻撃手法の議論も行われている。

 もし、こうしたセキュリティ対策を全て信頼できるベンダーに丸投げし、自身は業務に必要なアプリケーション記述のみに注力できれば、効率がよく、サービスを提供するベンダーにとってもユーザー企業にとってもWin-Winの関係となるのではないだろうか。

 社会インフラの多くを置き換えることが可能になる「5G」

 5Gの展開は、2020年以降に本格化する。3G以前との大きな違いはベースネットワークとして4G LTEを引き続き活用していく点で、5Gはこれに対してSub-6やミリ波といったより高い周波数帯域の無線ネットワークを重ね、帯域を増やすことを前提としている。

 そのため、米Verizon Wirelessなど3Gの早期停波を表明している携帯キャリアであっても、当面はLTEが併存し、面展開にはLTEを、都市部など通信需要が逼迫(ひっぱく)するエリアには重点的に高周波数帯域でのネットワークを重ねて帯域を増やす。

 5Gでの進化は、下り最大20Gbps以上、上り最大10Gbps以上というデータ通信の高速化、大容量化だけにとどまらない。IoTの普及を想定した「多接続」という特徴もある。1平方キロメートル当たり100万台の端末を同時接続できる(LTE-Advancedは1平方キロメートル当たり約6万台)ため、近い将来、膨大な数のIoTデバイスが利用されるようになっても、通信パフォーマンスへの影響は出にくくなるわけだ。

 「レイテンシ(通信の遅延時間)」も重要で、エンド・ツー・エンドの通信でLTEは数十ミリ秒程度だったものが、5G世代では数ミリ秒以下、場合によっては1ミリ秒(0.001秒)以下というパフォーマンスを実現する。

2019年に商用サービスが一部先行でスタートし、2020年には普及が本格化する5G
2019年に商用サービスが一部先行でスタートし、2020年には普及が本格化する5G

 5Gの世界で何が変わるかといえば、ネットワークに乗ってくるアプリケーションの種類が一気に増える。従来はWebカメラのような監視システムやセンサーのモニタリング、一部機器の遠隔制御程度で利用されていたものが、社会インフラの多くを5Gで置き換えることが可能だ。

 帯域が増えてカバーエリアが充実すれば、街中のサイネージの変更から信号制御まで、これまで有線やオフラインで行っていた仕組みを無線ネットワークで置き換えられる。有線の工事やメンテナンス費用も低減できるため、制御機器の多くに加えて、これまでラストワンマイルと呼ばれていた基幹通信網から各家庭やオフィスへのネットワーク配線を5Gで置き換えることができるだろう。

 レイテンシの低減による高速レスポンス化は、さらに新しい可能性をもたらす。自動運転における制御や、工作機器などの遠隔操作、遠隔での手術や医療行為を可能にするなど、公共施設や人員の移動に関する制限を取り払う。

 特に、物流に革命をもたらすといわれている自動運転トラックの世界は、欧米で激しい競争が進んでおり、2020年までには数千台のトラックが路上を駆け巡ることになるという予測もある。

 これらは全て物流や人員配置に関わるコストを下げることにつながり、より良質なサービスを低コストで提供することが可能になるだろう。Industry 4.0と呼ばれる工場の自動化や品質管理まで、5Gが工場内部のネットワークへと進出することでより現実的なものとなる。

5Gは、ビジネス分野でのさまざまな応用が可能で、開発者やユーザー企業にとってもチャンスとなる。写真は、5G展開後における社会の変化について語る米AT&Tワイヤレス製品マーケティング担当SVPのケビン・ピーターセン氏
5Gは、ビジネス分野でのさまざまな応用が可能で、開発者やユーザー企業にとってもチャンスとなる。写真は、5G展開後における社会の変化について語る米AT&Tワイヤレス製品マーケティング担当SVPのケビン・ピーターセン氏

 一方で、それまで閉じた世界だった産業機器やインフラが無線ネットワーク接続されることで、ハッキングの脅威に直面する機会も増大することになる。

 5Gの時代に直面する新たなセキュリティリスク

 5Gの時代に注目されている分野に自動運転がある。現在、自動運転の開発競争が過熱しているが、自動車向けのサイバーセキュリティソリューションを提供するイスラエルのKaramba Securityの予測で、「自動運転車は月間当たり30万件のハッキングに直面している」とAP通信が報じた。

 自動運転車のハッキングが成功すれば、方向転換から速度調整まで自在に制御が可能になるという。ハッキングが金銭的な被害はもちろん、搭乗者の生命に危険を及ぼすことも考えられる。実際、実験レベルでは何度かハッキング事例が報告されており、2020年以降の5G時代における新たな脅威になるだろう。

 自動運転車と同様に、各種制御器、建物のインフラや交通管制システムなど、ネットワーク接続されることでリモート制御可能になるインフラは5G時代に飛躍的に増え、IoT化であらゆるものが“つながる”世界では、現在より被害が深刻化する可能性がある。

 2018年秋に米カリフォルニア州で世界初となるIoTセキュリティ法案が成立して話題となったが、これらサイバー犯罪で発生した被害の責任の所在がどこにあるのか、メーカーか、あるいはそれを利用してサービスを提供する事業者や団体なのか、明確化する仕組みが求められる。この辺り、「AI」などの機械制御の仕組みは責任の所在がどこにあるのかも含め、新しい時代にステップアップするための通過点となりそうだ。

 従来と比べて5G時代には適用分野が一気に広がることもあり、関連企業がアピールする内容は、技術的に可能になることや、自動運転において実際にシステムに組み込んだ際の利便性、安全性など明るい未来で、ハッキングのリスクに触れられる機会はどちらかといえば少ない。

 しかし、IoTと5Gがインフラへ浸透するほどセキュリティリスクは顕在化するわけで、便利になる反面、危険性をそれだけ内包していることも意識しておく必要がある。

 組み込み機器における開発は、どちらかといえばローレベルでのプログラミング作業が求められ、ともすれば職人芸的な要素も含んでいた世界ではあったが、これがネットワーク接続前提となると求められる要件も変わってくる。

 定期的なメンテナンスと稼働状況の分析、そしてOTAによるアップデートと、ソフトウェア開発のライフサイクルもIoTでは異なる運用が求められ、5G時代の到来とそれに伴うセキュリティ対策の重要性は、開発スタイルや意識変革のきっかけにもなるだろう。(ITmedia Mobile)

関連ニュース

あなたへのおすすめ

PR

PR

PR

PR

ランキング

ブランドコンテンツ