IoTが抱えるセキュリティ問題は、法制化によって期待どおり解決できるのだろうか。ユーザーの意識向上がその一助となるのかという点について考察していく。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
BBCの記事によると、英国のデジタル・クリエイティブ産業省の大臣であるマーゴット・ジェームス (Margot James)氏はIoT製品のセキュリティレベルを示す新たなラベル制度の導入を目指す法制化を提案している。
ラベルを取得するためには、IoTデバイスは以下の条件を満たす必要がある。
- - 独自のパスワードが初期設定されている。
- - セキュリティアップデートのサポート期間が明示されている。
- - 脆弱性を通報するための連絡先が表示されている。
2020年に施行される予定のカリフォルニア州の法律では、インターネットに接続するデバイスにおいて脆弱なパスワードの使用が禁止されることになっている。英国はこの法律にならい、グローバルリーダーとしてオンラインの安全性を高める取り組みを開始した。英国の法制化の動き、そして既に可決され施行を待つカリフォルニア州の法律により、IoTに関するセキュリティ対策は一歩前進したといえる。少なくとも、メーカーはIoT製品の設計開発段階でセキュリティ強化について検討せざるを得ない。しかし、法制化しただけで問題は解決に至るだろうか。
IoTデバイスとは実際にどういうものなのか、改めて考えてみることにしよう。カリフォルニア州の法律では、コネクテッドデバイスを「直接または間接的にインターネットに接続でき、IPアドレスまたはBluetoothアドレスを持つデバイスあるいはその他の物体」と定義している。この中には、コネクテッドカー、スマート電球、ラップトップパソコン、サーモスタット、そしてもちろんスマートフォンまでさまざまなデバイスが含まれる。
私(Tony Anscombe)のデスクにあるBluetooth対応スピーカーは、パスワード不要で、データの収集や送信もおこなわないものだ。このデバイスは法律施行後、パスワード設定が必須なように規制されてしまうのだろうか。
同様に、英国でテスラ社の車を購入したら、IoTに関する基本的なセキュリティ法案に適合していることを示すラベルが車に貼り付けられるようになるのだろうか。もしくは車内で通信が可能なデバイスは個別に、ラベル貼付が必須となるということなのだろうか。
不十分なセキュリティ対策
セキュリティ対策が求められているのは間違いない。しかし、メーカーの多くは自社のIoTデバイスについて十分なセキュリティ対策を講じてこなかった。この現状こそが法制化の大きな原動力となっている。英国では法制化に向けた取り組みとして、まず自主的な行動規範の策定から始めている。
しかし、法律は時に技術革新を阻害することもある。IT業界では、パスワード認証から脱却するための取り組みが加速している。マイクロソフト社の最高情報セキュリティ責任者であるブレット・アーセノールト (Bret Arsenault)氏によると、「パスワードが要らない世界」を推進した結果、同社の約90%とほとんどの従業員がパスワード不要で社内ネットワークにログインできるという。必要なのは、顔認識、指紋、二要素認証などを利用するWindows Hello (生体認証機能) やAuthenticator (認証アプリ) といった手段である。
現在、法案は提出された段階であり、施行は来年の予定となっている。この法案が施行される頃には時代遅れなものとなっているかもしれない。現在、デバイスメーカーはさらにセキュリティの高い手段を模索している。もしこの法律が施行されると、IT業界のメーカーは新たなテクノロジーを採用できなくなる可能性すらある。
最近、英国の国家サイバーセキュリティセンター(NCSC)が漏えいの可能性があるデータを分析したところ、世界中で2,320万人分のユーザーアカウントにパスワードとして「123456」が、770万人分に「123456789」が使用されていたことが判明した。この結果からは、ユーザーのオンラインアカウントに対するセキュリティ意識の低さが浮かび上がってくる。そして、この状況をサイバー犯罪者は絶好の機会と捉えることになるだろう。
先日、私は米国とアルゼンチンで開催されたサイバーセキュリティイベントに参加し、特にスマートビルディングにおいてデバイスをネットワークに接続する際、セキュリティ対策が必要であるとの見解を述べた。そして両会場で「あなたの車のインフォテインメントシステム*1を最後にアップデートしたのはいつですか」と聴講者に問い掛けたが、どの聴講者も困惑した表情を浮かべていた。彼らはサイバーセキュリティの専門家であるにもかかわらず、一度もアップデートしたことのないシステムに、まさに個人的なデバイスである携帯電話をBluetoothで接続しているのだ。翌日私に連絡をくれた聴講者からは、アップデートが必要なことはわかっているものの、自分自身も販売店もシステムをアップデートできないという泣き言まで出てきたほどだ。
*1 自動車における、「情報」と「娯楽」の提供用システムのことで、カーナビなども該当する。
数年後の未来、あなたはIoTデバイスが接続されたピカピカの新しいスマートホームを手に入れたとしよう。そのデバイスに付いているラベルには、独自のパスワードとアップデートのサポート期間(5年間)が記載されている。デバイスを初めて使用する時には、分かりやすくするために、スマートホームにあるデバイスにすべて同じパスワードを設定する。デバイスをコンセントにつなぐと、すべての機能を手軽に操作することができる。デバイスが登録されていることを前提とした場合の話だが、メーカーがファームウェアのアップデートをメールで通知してきたとしても、デバイスが正常に機能していれば、メールは見られることはない。正常に機能しているのに、アップデートする必要はないからだ。
法制化により、メーカーは高いセキュリティ機能を標準装備したデバイスを製造していくようになる。しかし、各家庭でセキュリティを強化するには、セキュリティ教育の充実や意識の向上なしには難しい。だからといって、このような行動を法律で義務づけることも現実的ではないのではないだろうか。