業界を超えた連携を
IDC Japanが昨年11月に発表した調査によると、16年の国内IoTセキュリティ製品市場規模は前年比27.5%増の518億円。16年から21年までの年平均成長率(CAGR)は19.3%で、21年には1250億円まで上ると予測している。上向き傾向であるセキュリティ市場全体からみても、IoTセキュリティは一つの成長市場であるといえるだろう。
IDC Japan
登坂恒夫
ソフトウェア&セキュリティ
リサーチマネージャー
需要が拡大している背景として、「ランサムウェアの急増がある」と、登坂恒夫・ソフトウェア&セキュリティ リサーチマネージャーは話す。とくに昨年は、ランサムウェア「WannaCry(ワナクライ)」が世界的に拡散し、病院や工場などが一時的にサービス停止に追い込まれるなどの被害が発生した。これを契機にシステムのぜい弱性管理の重要性を認識する企業が増えたとみられる。ユースケース別にみると、現状は制御系システムが多く、「IoT市場への投資の流れに後追いするかたちで、セキュリティがリンクしていく傾向にある」という。
IoTセキュリティに向けたセキュリティベンダーの動きとして、「アイデンティティ管理、アクセス管理、アプリケーション認証、ネットワークセキュリティのベンダーはIoTへのリーチが早い。ウイルス対策ベンダーは、IoTを意識してホワイトリスト型の対策製品などに取り組んでいるが、まだそれほど大きくは広まっていない。最近は、ぜい弱性診断サービスを手がけるところが増えてきており、マネージドサービスも今後出てくるだろう」と、登坂リサーチマネージャーは分析。「(IoTセキュリティは)まだ新しい分野で新規市場。セキュリティベンダーにとってはプラスに働く」と、商機の存在を指摘する。
IoTセキュリティは複数のレイヤにまたがるとともに、業界によっても必要な対策の中身が異なる。1社だけでまかなえるものではない。登坂リサーチマネージャーは、「IoTセンサや機器メーカー、IoTプラットフォームベンダーなど、セキュリティ業界を超えたパートナーエコシステムの構築が必要だ」と提言している。
フルレイヤでセキュリティを提供
ここからは、IoTセキュリティソリューションを提供するベンダーの動きをみていこう。
トレンドマイクロでは、IoTのセキュリティを「デバイス」「ネットワーク」「コントロールセンター」「データアナライザ」の4層に分類している(右下図参照)。コントロールセンターは集中管理の役割を担うもので、家庭でいうとAIスピーカー、工場だと制御システムなどに相当する。データアナライザは、IoT機器から集めてきた情報を分析するレイヤだ。
トレンドマイクロ
津金英行
IoT事業推進本部
IoT事業開発第2部
部長
ディレクター
デバイスから発生したデータは、ネットワークを通じて各レイヤを渡り歩き、またデバイスに戻ることで、収集からフィードバックまでのサイクルを描く。「このIoTデータを各レイヤで守る必要がある。これが当社の考えるIoTセキュリティだ」と、津金英行・IoT事業推進本部IoT事業開発第2部部長 ディレクターは話す。各レイヤに対して、「認証」「プライバシー」「脅威対策」というセキュリティ対策が必要であるといい、「トレンドマイクロは、長年にわたるビジネスの経験をもつ脅威対策にフォーカスする」という。認証とプライバシーに関しては、パートナーと協業してトータルにIoTセキュリティをカバーしていく考えだ。さらに、対策の中身が異なる各業種への最適化や、強みとするセキュリティ脅威情報を活用して、「フルレイヤでIoT脅威に対抗していく」としている。業界としては現在、家庭と工場、自動車の3業界に注力しており、今後さらに拡大を図る方針だ。
具体的なソリューションとしても複数製品をラインアップしているが、津金部長が担当するネットワークレイヤでは、NFV向けネットワークセキュリティ技術の「セキュリティVNF(Virtual Network Function)」を、ネットワーク事業者向けに用意している。「IoTでは、多層防御よりも、ユースケースごとに必要なセキュリティを必要なだけ動的に配置できる“分散連携防御”が適していると提唱している。それを実現できるのが、SDNやNFVだ」と津金部長。セキュリティVNFは仮想環境上で動作し、侵入防御、ウェブ脅威対策、アプリケーション制御といったセキュリティ機能を主要機能として提供。昨年7月には、ソラコムのIoT通信プラットフォーム「SORACOM」においてパケット処理機能を提供するサービス「SORACOM Junction」と連携。IoT機器の通信トラフィックにおけるセキュリティ脅威の制御を実現している。
津金部長は、「NFVの標準仕様に準拠しており、他のベンダーとの相互接続性を担保している。また、処理精度が高く、通信キャリアのような大量のトラフィックを扱う環境でも動作できる。セキュリティ脅威情報を活用して最新脅威にいち早く対応できる」ことが特徴だと話す。現在、商用化を進めており、年内のリリースを予定している。
IT、OT、経営層の連携を促す
IoTセキュリティの一領域である制御システム(OT)。かつてはクローズドな環境で稼働してきた制御システムもオープン化が進み、セキュリティ脅威にさらされつつある。
マカフィー
佐々木弘志
サイバー戦略室
シニア・セキュリティ・アドバイザー
「『インターネットにつながっていないから大丈夫』と安心していても、実はつながっていて、被害にあうケースがある。日本でも工場などで感染が確認されたWannaCryがその例で、これを機に、経営層のセキュリティに対する意識が変わってきた」と、マカフィーの佐々木弘志・サイバー戦略室シニア・セキュリティ・アドバイザーは実感しているという。
とくに工場などのOT分野においては、経営層のセキュリティ意識が高まることはいいことだ。佐々木シニア・セキュリティ・アドバイザーいわく、IT部門とOT部門では目指すゴールが異なるため、IT部門主導でセキュリティ対策を進めても、「ものづくり」「セーフティ」を重視するOT部門と折り合えないことがあり、「トップダウンでセキュリティ対策を進めないと、現場との間でゴールを共有できない」からだ。そこで、経営層のセキュリティに対する理解が重要になる。
マカフィーでは、製品とコンサルティングサービスを提供している。経営層の意識を高めるために提供するサイバー演習では、疑似的にサイバーインシデントを起こし、対外的に公表しなければならない状況を用意する。必要な情報は何か、どのような行動をとらなければならないか、何を発表しなければならないかなどを体感し学ぶことで経営層の理解を深め、事業計画に合わせたセキュリティの予算確保やロードマップの策定につなげていくという。
また、現場向けには、チェックリストを用意し、IT部門とOT部門との間でセキュリティについて議論をさせる。チェックリストは60項目あり、3段階のレベルに分かれているので、現場のセキュリティレベルを測る材料にもなる。こうしたサービスを通じて、経営層とIT部門、OT部門の連携促進を図っている。
システム面では、エンドポイント製品の導入が可能な機器向けにエンドポイントソリューションを提供。「急ぎの対策」としては、ITとOTの境界にIPSを設置することによる、ITとOT間で感染被害拡大の防止を提案している。また、最近では、イスラエルやオランダのスタートップ企業が制御システム向けに特化したIDS製品を開発しており、それを担ぐSIerも増えているという。マカフィーでは、そうしたスタートアップのパートナーとなり、IDSから上がったアラートを解析するために、SIEMの利用を提案している。「制御システムのセキュリティにおいては、人とシステムの両面で対策を講じることが大切だ」と佐々木シニア・セキュリティ・アドバイザー。「日本では、ある企業がセキュリティ対策を行うと、業界内で広がりやすい。IoTセキュリティの啓発が進むと、確実に広がるだろう」と話す。
IoT機器のライフサイクルを管理
サイバートラストは昨年10月、OSS/Linux事業を手がけるミラクル・リナックスを存続会社として、認証・セキュリティ事業を手がける旧サイバートラストを吸収合併。社名変更を経て新生サイバートラストとして歩み始めた。
そんな同社が第3の事業として据えたのが「IoT事業」だ。旧サイバートラストとミラクル・リナックスの両社は16年よりIoT分野で協業し、17年3月には、共同でのソリューション展開を開始している。今回の合併は、組み込みLinuxと証明書のノウハウを組み合わせたIoT事業を強化していくことが大きな目的である。
同社のIoT事業の要は、IoT機器向けにPKI(公開鍵基盤)を提供して、IoT機器のライフサイクル管理を実現する「セキュアIoTプラットフォーム」の取り組みだ。
サイバートラスト
鈴木庸陛
IoT事業部
執行役員
事業部長
米ラムバスと協業し、同社の「Rambus CryptoManager IoTセキュリティサービス」を採用。IoT機器の製造段階から改ざんがされにくい専用ICチップ内の耐タンパ領域に鍵を書き込み、認証局が証明書を発行。デバイスにインストールすることで、機器とクラウド間の通信が可能になる。これによりデバイスの真正性・実在性が担保されるとともに、OTAで機器のアップデートができる。「生産段階からPKIが安全なところに格納されていること、WebTrustの認定を受けている当社が提供していることが強みだ」と、サイバートラストの鈴木庸陛・IoT事業部執行役員事業部長は強調する。
さらに、鈴木執行役員は、「IoTセキュリティサービス(ISS)は、認証局と同等の役割をもち、PKIの発行・失効が可能。デバイスにどのような証明書が入っているのかは、認証局が把握している。これにより、IoT機器メーカーやサービス事業者に対して、IoT機器のライフサイクル管理を実現する基盤を提供できる」と話す。今後は、半導体メーカーとの協業で半導体にPKIを組み込んだ状態での提供を目指す方針だという。
