自動車の遠隔操作で高まるIoTセキュリティ

　2016年1月、アノニマスの声明とともに日産自動車のホームページがDDoS攻撃の被害にあったことがあった。攻撃自体は大きな問題とはならず、比較的すぐに収束した。

　しかし、この事件を受けて、一部の自動車評論家が、クライスラーのコネクテッドカーへのハッキングによる遠隔操作のニュース（2015年 Black hatで発表されたIVIの脆弱性実証実験）を取り上げており、「自動車メーカーのサイトがダウンさせられるようで、自動運転は安全といえるのか？」といったコラム記事を書いていた。

　いったい「Webサイトへの攻撃」と「コネクテッドカーへの攻撃」に何の関係性があるのか？　と違和感を感じた人もいただろう。

「自動車業界に精通しているはずの評論家でこのレベルならば、IoTと騒ぐ前に、これまでインターネットセキュリティに疎かった業界の改革は急務といえる。ここは、サイバーセキュリティ対策で先行するICT業界が、少なくとも自分たちと同じレベルまで引き上げるため、自動車業界、工業、家電業界、デバイス業界を牽引・指導していく必要がある」

　このように思ったエンジニアや専門家がいたら、じつは要注意だ。IoTセキュリティの問題は、対策が遅れている業界をフォローしていけばいいという単純な問題ではない。

IPAが定義する、IoTの構成要素5つ

　それでは、IoTセキュリティの問題とは何か。情報処理推進機構（IPA）が発表した「IoT開発におけるセキュリティ設計の手引き」において、IoTは次の5つの要素から構成されるものと定義している。



　「サービス提供サーバ・クラウド」は、ネットワークに接続されたサーバやクラウドサービスのことである。企業の情報システムとして耐えうるセキュリティ対策を行っている企業は多いと思われる。

　「中継機器」は、据え置き型のルータ、ゲートウェイ、ファイアウォールなどで、IoT機器とインターネットをつなぐインターフェイスとなる機器を指す。近年では、スマートフォンのようなモバイル機器も中継機器としての役割を担うようになっている。

　「デバイス」はその名の通り、情報家電、自動車、ウェアラブル機器のことだ。

　「システム」は、単体のデバイスではなく複数の機器や装置、ソフトウェアで構成される制御システム、スマートホームなどを意味する。

　「直接相互通信するデバイス」は、ゲーム機、センサーネットワーク、車車間通信・路車間通信機器といった、機器同士の通信機能を持つものである。

「手引き」が示す業界横断の対策・連携の必要性

　IPAの文書では、あらためてIoTを前述の5種類に分類しているのだが、クラウドやルータなど、従来からのICT領域の製品や技術も含まれていることにお気づきだろうか。

　例えば、コネクテッドカーでは、カーナビが渋滞情報や地図サービスをはじめとする、各種Webサービスにアクセスする必要がある。あるいは自動運転技術が進歩すれば、人工知能（AI）がこれらのサービスを利用するようになる。自車と他車で直接通信を行い、安全運転を支援する「車車間通信（路車間通信）」技術も同様だ。すでに、カーナビに接続されたカメラの映像を、同じカーナビユーザーがほぼリアルタイムで共有する製品が市販されている。

　また、情報家電や制御システムのプロセッサ、組込み機器などは、単体でのセキュリティ機能に限界がある。家電製品の場合、コスト的な問題、センサーやカメラなどは、OSやアプリのようなセキュリティアップデートに対応しにくいといった特性もある。このような機器のセキュリティは、それらが接続するサーバやクラウドになんらかのセキュリティ機能（認証機構、監査機能、暗号化機能）を実装しなければ確保できない。

　冒頭で述べたように、IoTセキュリティは新しくインターネットに接続する機器や業界が取り組めばよい問題ではない。スマートフォンメーカー、地図やレストラン情報を提供するサービスプロバイダー、クラウドプロバイダーなどは、ユーザーがIoT機器であることを前提とした設計、セキュリティ機能の実装が求められている。

【次ページ】IoTセキュリティ実装のポイント4つ