DigiCert Labs、セキュリティやプライバシーの観点からIoTデバイスを分類する方法の可能性を探る。分類にはAIやパターン認識のテクノロジーを活用

同意も得ずに周辺の音を録音したり、相手に気付かれないように写真を撮ったり、相手の許可なくデータを転送したりできるデバイスが、いま私たちの周囲には溢れています。言い換えれば、私たちはデジタルの目と耳に取り囲まれています。通常、これらのデバイスはモノのインターネット、略称、IoTに分類されます。具体的には、AmazonのAlexasやNestのスマートカメラ、スマートサーモスタットなどがこれに相当します。そのようなIoTデバイスが、少しずつ個人の空間に入り込んできているのです。

最近、研究者が突き止めたところによれば、AmazonのAlexaのようなデバイスは、ユーザーに知られないようにして周囲の音を録音できると言います。このような能力はデバイスの機能強化につながる一方、多くの問題も生み出します。何よりもまず、プライバシーが脅かされます。想像してみてください。キッチンの片隅にAlexaが置かれていたとしたら、Alexaはそこでの会話を録音し、そのデータを保存、処理できてしまうのです。また、同じ機能はセキュリティ上の問題も生み出す可能性があります。ユーザーが発した一連の命令を録音、再生するだけで、家のなかにある別のIoTデバイスが有効または無効になります。たとえば、Alexaがセキュリティシステムを有効にしたり無効にしたりできるというわけです。

さらには、ロボット掃除機のようなデバイスに関連したプライバシーの問題もあります。ロボットには部屋の空間の様子を記録してその情報を外部に送信する能力のあることが問題です。もしもロボットを乗っ取れてしまったら、ロボットの持ち主の家の様子はサイバー犯罪者に筒抜けになっているも同然です。このロボットの場合、ユーザー名とパスワードの組み合わせはデフォルトの設定があるので、攻撃者が簡単に悪用できる認証上の脆弱性が存在することになります。

消費者向けのIoTデバイスが原因となってプライバシーの侵害やセキュリティの問題が発生するケースが後を絶たないように見受けられます。

DigiCert Labsでは、プライバシー侵害のレベルや既知の脆弱性をもとにIoTデバイスを適切に分類する方法を、さまざまな手法で懸命に探っています。具体的には、さまざまな環境におけるさまざまなIoTデバイスの振舞いを、AIやパターン認識などのテクノロジーで分析する取り組みを行っています。

これまでのところで真実であると思われるのは、所有者の同意を得ないままでデータを記録、送信できるという点について、IoTデバイスの能力が過小評価されている点です。また、認証などの面で適切なセキュリティ上の措置が取られていないため、広範囲な領域で脆弱性が存在しています。以上をまとめると、家にいるときに私たちは害を及ぼす可能性のあるデバイスに囲まれている可能性があるとの結論に達します。そして、これらのデバイスが便利であるとしても個人のプライバシーやセキュリティを危険にさらすほどの価値があるのかとの疑問がわいてきます。

DigiCertが最近公開した『State of IoT Survey 2018(IoTの現状に関する調査 – 2018年版)』の内容が示すように、ほとんどの組織にとってIoTのセキュリティは優先すべき課題となっています。しかし組織の多くは、何が必要であるのかを十分に理解していないか、必要な投資を行っていません。その結果、IoTのセキュリティを順調に整備している企業とそうでない企業の差が明確になり、IoTのセキュリティの導入に苦労している企業には、大きなコスト負担が生じることになります。

一部の企業はセキュリティを整備した場合のコストに懸念を示しており、たとえば、調査対象となった企業の65%が暗号化のソリューションは高額すぎると考えています。しかし実際には、IoTのセキュリティを無視したときのほうが、コストはずっと高くつくのです。特に問題に直面している企業の場合、2年間で3,400万ドル以上の影響を受けていると述べています。率直に言えば、IoTデバイスのセキュリティに無関心であった場合、無視できないほど多額のコストがそれによって生じることになるのです。

IoTを狙った攻撃のために重要なインフラストラクチャが停止してしまうケースがあちこちで発生するようになっており、プレッシャーが高まるばかりです。これらの攻撃は国の経済に影響を及ぼすようになっており、また、公衆衛生や個人の健康にも被害が出始めていることから、企業は行動を迫られることになるでしょう。すでにカリフォルニア州や米国食品医薬局、欧州委員会日本政府は、IoTデバイスに関する規制の強化を検討しています。

IoTデバイスに起因するプライバシーの問題やセキュリティの問題から消費者を保護するのは容易ではありませんが、現在では、不正アクセスや不正な認証からIoTデバイスを守るテクノロジーがあります。たとえば、ユーザー名とパスワードによる従来の手法に代わる、PKIやデジタル証明書を利用した高度な認証手法もそれらのテクノロジーの一つです。また、コード署名を使用すれば、無線でのセキュアなファームウェアのアップデートや、デバイスのセキュアな起動が可能になるほか、デバイスが署名されたコードだけを実行するようにしてデータの改竄を防ぐこともできます。

今後数か月のうちに、DigiCert Labsは、IoTのプライバシーとセキュリティに関する研究の成果を公表する予定です。明らかになった脆弱性に対処する新たなソリューションを開発するなかで、IoTのプライバシーとセキュリティに関する一般的な情報を皆様にお伝えするのがその目的です。

原文はこちら

Posted in DigiCert Labs, Internet of Things, IoT