●ソフトの改ざん防止にはチップベースの技術が有効

　前述のように、IoTではデバイスが管理者の手元を離れた場所で使用されることも多い。第三者が接触できる場所に置かれる機器の場合、ソフトウェアが不正に書き換えられたり、マルウェアを搭載したものにすり替えたりといったおそれが否定できない。朝、出かけようと車に乗り込んでエンジンをかけたとき、正しいプログラムがロードされるという保証はどこにもない。

　プログラムの改ざんや、不正デバイスのネットワークへの接続を防ぐための方策として、M2M/IoT分野で切り札となるのが「セキュアエレメント」の導入だ。セキュアエレメントとは、ICカードや組み込み用モジュールなどの形で提供される半導体チップで、これをデバイスに装着することで、暗号化キーや電子証明書を安全に格納可能になるほか、暗号化や決済の機能も追加できる。

　セキュアエレメント内のデータは適切な方法でなければ読み書きができず、チップの表面をはがしたり、電極をあてたりしても内部の解析は行えない。この特性を応用して、セキュアエレメントを装着したデバイスの起動時に不正な方法でプログラムの書き換えが試みられた形跡がある場合、起動動作を中断することができる。また、セキュアエレメント内の証明書を利用してデバイスの真正性を確認すれば、証明書をもたない不正なデバイスからのネットワークへのアクセスを拒絶できる。



　セキュアエレメントを中心としたセキュリティソリューションベンダーであるジェムアルトのコンシューマー・OEM担当マーケティング・ビジネス開発部、笹井幸一郎部長は、同社がとくに力を入れている分野として自動車を挙げる。「一般的に、セキュリティのレベルはコストとのトレードオフといわれるが、自動車のように人命がかかわる領域になると、コストとのバランスよりも、どれだけ高度な安全性を提供できるかが重要となる」（笹井部長）といい、ネットワーク接続型の自動車では、セキュアエレメントのようなハードウェアレベルのセキュリティ技術を導入することが、システム設計の大前提になるとの見方を示す。

　その一方、より身近なIoTデバイスでは、ヘルスケアなどで用いられるウェアラブル機器においても、セキュアエレメントの需要が高まっているという。同社でフィールドマーケティングを担当する米沢正雄氏は「北米市場などでは、医療・生体情報に関してのプライバシー意識が非常に高い。収集した情報を自分で見るだけならそれほど過敏になる必要はないが、通信回線を通じて伝送したり、生体情報を認証に使うようになったりすると、高度なセキュリティが求められる」と話し、IoTで何らかのサービスを提供する事業者が増えるのにつれて、セキュアエレメントの需要も高まるとの見通しを描く。

　また、当然のことながらデバイスにチップを追加しただけではセキュリティを高めることはできず、認証システムとの連携やカギの管理など、開発から運用に至るまで専門的な知見が求められる。ジェムアルトは全世界でさまざまな事例を蓄積しており、セキュアエレメントを中心としたセキュリティ技術をソリューションとして提供できることを強みとしている。


●IoTのセキュリティも進む方向はAI

　これまでみてきたセキュリティ製品は、ネットワークに新たに接続される組み込みデバイスをいかに保護するか、といった視点が中心だったが、最後に紹介するのは、IoT時代には、サイバー攻撃対策自体にこれまでとは異なるアプローチが必要なのではないか、という提案である。

　NECが開発した「自己学習型システム異常検知技術」は、同社が研究開発に力を入れている機械学習技術をセキュリティに応用したものだ。この技術ではまず、保護対象の端末やネットワーク機器に軽量な監視ソフトを導入し、プロセスや通信のログを収集する。これによって、平時のシステムがどのように動作しているかが学習される。

　そして、ログの収集・蓄積を継続するなかで、過去に学習した挙動とは異なる異常な処理や通信を行っている端末を発見した場合、その端末は攻撃を受けていると判断し、システムから自動的に切り離す。このようなアプローチをとることにより、防御側にまったく知見がない新しい攻撃手法が用いられた場合も、それを攻撃として認識し、被害の拡大を防ぐことができるというものだ。現在はまだ商用化に向けた開発途中の段階だが、すでにNECの社内をこの学習型システムで監視しており、一定の有効性が確認されているという。

　情報システム上で保護すべき対象は種類・数ともに大きく増加しており、人の手によるセキュリティの担保にはいずれ限界が訪れる。IoTが社会に浸透するのにともない、セキュリティ運用の自動化も今後大きなテーマになっていくと考えられる。