信頼できない世界での信頼の構築

COVID-19のパンデミックは、個人、社会、ビジネスなど、さまざまな形で私たちの生活を混乱させました。今や私たちは、大切な人や同僚と連絡を取り合ったり、より多くのサービスや商品をオンラインで購入したりするために、インターネットやオンラインプラットフォームを利用しています。

多くの企業にとって、COVID-19はシステムをクラウドに移行したり、リモートワークをサポートするプロジェクトを加速させました。企業がオンラインサービスに移行し、これまでにない数のスタッフがリモートで働くことをサポートする中で、サイバーセキュリティに対する従来の境界線を利用したアプローチやモデルは、もはや有効ではありません。このアプローチでは、境界内のすべてのデバイス、サービス、ユーザーは信頼できるが、境界外のすべてのデバイス、サービス、ユーザーは信頼できないと仮定します。しかし、今では事実上、その周辺部は消滅してしまいました。

この課題をさらに悪化させているのが、Internet of Things (IoT) 革命であり、これらのデバイスの信頼性に関連して、無数の問題が発生しています。現在、私たちはインターネットに接続されたテレビ、照明、暖房器具、自動車などを所有しており、スマート(高機能)かどうかにかかわらず、接続機器の数は日々増え続けています。

これらのIoTデバイスの中には、企業の環境に接続されているものもあります。例えば、役員会議室に設置されているスマートテレビなどです。また、これらのデバイスは、サポートやアップデート、処理能力の追加などのために、ベンダーのプラットフォームに接続されている場合も多くあります。つまり、企業のシステムは、境界線の外にあるベンダーのプラットフォームに接続されていて、私たちが直接管理することができないIoTデバイスを信頼しなければなりません。

さらに、すべてのIoTベンダーが、自社製品にセキュリティを組み込むために適切な時間や労力を費やしているわけではありません。IoT機器の認証が弱かったり、デフォルトの認証情報が設定されていたり(英語リンク)、ベンダーがセキュリティアップデートで機器を更新する適切な方法を持っていなかったりする例が多くあります。5Gネットワークの発展は、IoTデバイスの成長をサポートするものですが、一方でこの問題をさらに悪化させることになります。

情報セキュリティの標準的な3つの柱(機密性、完全性、可用性)に、4つ目の柱を追加する必要があります。その柱は「信頼」です。私たちが利用しているオンラインサービスをどのようにして信頼できますか?私たちがアクセスしているシステムをどうやって信頼できますか?自分の環境にアクセスしているデバイスをどうやって信頼しますか。また、コンピューターが日常的に行うアップデートやメッセージ、その他のやりとりは、多くの場合バックグラウンドで行われ、私たちが介入することなく行われますが、これらをどのように信頼すればよいのでしょうか?

信頼とは、魔法のように現れるものではありません。信頼とは本来、時間をかけて育てていくものです。それは、前向きな相互作用に基づいて構築され、それらの前向きな相互作用を繰り返すことによって時間をかけて強化されます。しかし、信頼を築くのには時間がかかりますが、その信頼は、不適切なやり取りや出来事によってすぐに失われてしまいます。1987年、中距離核戦力条約(英語リンク)に調印した後、当時のアメリカ大統領ロナルド・レーガンは、ソ連がこの条約を守ることを確信するにはどうすればよいかという質問に対して、「信頼はするが、検証はする」という言葉を使いました。 この言葉は、ロシアの古いことわざ「Doveryai, no proveryai」をもじったもので、信頼を盲目的に額面通りに受け取るのではなく、信頼が維持されていることを裏付ける証拠を探すべきだということを強調しています。

電子証明書は、私たちが個人生活やビジネスを安全に行うために必要な信頼を築くための重要な基礎となるものです。電子証明書は、ネットワーク上を移動中のデータや保存中のデータを保護するのに役立ちます。また、IoTデバイスを含む個人やデバイスを我々のシステムに認証する強力なメカニズムを提供することができるので、信頼できる相手との通信や接続を確実に行うことができます。

電子証明書は、それだけでは必要な信頼レベルを構築・維持するのに十分でない場合があることに留意する必要があります。過去には、管理が不十分な電子証明書とそれに関連する鍵が、攻撃者に悪用されたことがありました。犯罪者は、評判の良い企業から証明書を盗み、その証明書を使ってソフトウェアのアップデートに電子署名をしたり、その他の悪意のある活動を行っています。

パンデミック後の世界では、リモートワークを活用したり、新しいオンラインプラットフォームを利用したり、IoTデバイスを家庭やオフィスに導入したりする人や組織が、増え続けるでしょう。これにより、組織が管理しなければならない電子証明書の数が急増することになります。セキュリティ境界線の侵食に伴い、これらの電子証明書は、その完全性を確保するために、発行、更新、失効、および継続的な管理が必要となります。管理すべき電子証明書の規模と量が非常に大きいため、組織は、プライベートまたはパブリッククラウド、オンプレミス、または認証局がホストする管理ソリューションを介して、電子証明書をシームレスに管理するスケーラブルなソリューションを採用する必要があります。

デジタルの世界では、信頼を築く必要がありますが、その信頼を管理・検証するためには、スケーラブルで自動化されたプラットフォームが必要です。

Posted in Internet of Things, IoT, セキュリティ