コラム

IoTデバイスの効果的な
セキュリティ対策とは

※本記事は2021/10/22にビジネス+ITへ掲載された記事です。


デジタル技術の進化に伴い、身の回りのあらゆる機器がインターネットに接続されるようになった。さまざまな機能を備えた製品同士がつながることで人々の業務や暮らしの利便性が高まる一方、これらのIoTデバイスはまだまだサイバーセキュリティ対策が遅れがちであり、デバイスを狙ったサイバー攻撃や安全管理の不備に起因する事故も多発している。

IoTデバイスにはどのようなリスクが潜んでいるのか。また事業者がIoTサービスを安全に提供できるようにするにはどうすればよいのか。必要なセキュリティ対策について、効果的な打ち手を紹介する。

IoTデバイスのセキュリティ対策をおろそかにしていると、被害に遭うのは時間の問題だ
(Photo/Gatty Images)


IoTが実現した“製品+サービス”という新機軸

 ICT・デジタル活用を基軸とした技術革新が進む中で、今までスタンドアロンで動いていた多くの機器が、インターネットとつながりIoTデバイス化している。ビジネスの現場では大きな変革が起きつつある。その1つが、製品の“サービス化”である。

 たとえば日本の基幹産業である製造業では、品質一筋だった従来のモノ作りが限界となり、従来の機能にデータの活用を付加して実現する“製品+サービス”という新しいアプローチに移行しつつある。

 同様に、非製造業における従来の事業やサービスにおいても、デジタルという付加価値を組み合わせて内容を高度化する「デジタルトランスフォーメーション(DX)」の動きも盛んである。これらのデジタル革命は、日本の製造業の復権や、新たな産業における飛躍という可能性を秘めており、大多数の企業が現在デジタル活用に大きく舵を切っている。

 しかしそこには、サービスを優先してセキュリティ対策の欠如という大きな穴が存在している。PCやスマートフォンなどのインターネットに接続することが前提であった機器以外は、ほとんどの製品が通信機能を持たずに単体で動いていたため、従来のモノ作りではサイバーセキュリティという概念が希薄だった。これに対してIoTデバイスはネットワーク接続が前提となるため、従来の組み込み開発における機能安全とは異なる、新たなセキュリティ対策の実装が安全対策として必須になるのである。

 実際にIoTを活用したサービスを提供する、また利用する際には、「3つの観点」でセキュリティ対策を考える必要がある。そして、その中で最も手薄な部分へ重点的に対策を施すことが必須だ。

インフラは対策済みでも、問題が残る末端のデバイス

 IoTを活用したサービスを展開する際のセキュリティ対策は、まずクラウドのサーバやネットワークなどのITインフラと、PCやタブレット、スマートフォンなどの従来からのIT端末、そして車やカメラ、工場の設備、家電などといったIoTデバイスの各領域において対策が必要になる。その中でITインフラやIT端末の領域は、常にサイバーセキュリティ問題と隣り合わせだったこともあり、その対策は進化を続けてきている。

 問題となるのが、末端のIoTデバイスである。

▼ IoTサービス実施時のセキュリティ対策の現状

 IoTデバイスのセキュリティ対策は、経験不足と複雑さという2つの側面で難しさを抱えている。まず開発段階では、IoTデバイスはそれぞれが目的に特化した一品ものとして開発されることが多く、コストやコンピューターリソースにも制約があるため、高度なセキュリティ機能を実装するのが難しい。そもそも今までやってこなかった分、組み込みセキュリティの知見を持ったエンジニアや開発会社自体が少ない。

 セキュリティ機能を実装した後も、IoTサービス事業者がサービス提供する際の運用面で多くのハードルがある。IoTデバイスは種類や数量が多く、設置される場所もさまざまであり、それらが長期間にわたって使用されるケースが多いため、管理負荷が高くなる。さらには、「攻撃された経験が少ない」現状から、リスクと対策の必要性への認識自体が不足しているという要素も加わり、IoTデバイスを開発・運用する際に、デバイスのセキュリティを向上させるためにコストをかけたり、人員を充てたりすることに理解が得られず、後回しになってしまっているのが実情である。こうなると、被害を受けるのは時間の問題になってしまう。

▼ IoTデバイスのセキュリティ対策の課題

IoTデバイスセキュリティに必要な3つの対策

 では実際に、IoTデバイスのセキュリティ対策は何をすればいいのか。IoTデバイスのセキュリティ対策を手がける凸版印刷 DXデザイン事業部で課長を務める武田稔氏は、3つの対策が必要になると説明する。

凸版印刷株式会社
DXデザイン事業部 事業推進センター DXビジネス推進本部 セキュアビジネス推進部
サービス開発チーム 課長
武田稔氏

「まずは『認証面』で、電子証明書を活用した強固な認証(PKI:Public Key Infrastructure)による盗聴・なりすまし・改ざんの防止対策が必要になります。2つ目は、『物理面』での対策です。『セキュアエレメント』という専用のチップを搭載することで、他の記憶領域から重要データを分離または独立して格納・保護できるようになります。3つ目は『管理面』の対策で、種類や数量、設置場所が多く、長期間使用されるIoTデバイスの適切なライフサイクル管理の対策を講じる必要があります」(武田氏)

 IoTサービスを提供する際の流れに当てはめてみると、IoTデバイスの初回起動時からクラウド接続、利用後の廃棄までの間、クラウドとデバイスを連携するためには電子証明書をインストールするだけではなく、電子証明書のライフサイクル管理を実施する必要があり、そのために開発時の実装と運用段階での管理という2段階の対策が必要になる。

 デバイスを開発するメーカーには仕組みを実装するノウハウが求められ、そこで作られたさまざまなIoTデバイスを組み合わせてサービスを提供するIoTサービスプロバイダーは、複数の機器とそれぞれに搭載された期限の異なる電子証明書をインストールし、長期にわたり管理する必要がある。そしてどちらも、自前で全て対策をするとメーカーと事業者にとって大きな負担となる。


IoTデバイスの製造から利用、廃棄まで一貫した安全対策

 こうした課題に対してTOPPANは、IoTデバイスの製造から利用、廃棄までのセキュリティ対策を効率化する「セキュアアクティベートサービス」を提供している。同サービスを活用することで、IoTデバイスにチップレベルで電子証明書を活用した安全対策の仕組みを実装できる。

 同サービスでは、IoTデバイスの初回起動時から電源を入れるだけで認証が始まり、Web上の管理画面から管理者が電子証明書と認証鍵の発行、更新、廃棄までのライフサイクルをリモートで簡単に管理できる。外部からのハッキングや不正アクセスを防ぐことはもちろん、電子証明書の有効期限が切れてデバイスがクラウドと接続不可能になるインシデントを防ぐことができる。

「我々は20年以上にわたってセキュアな金融系ICカードの製造・発行を手がけていて、チップの中に搭載するアプリの開発や、アプリをIC内に格納する工場での発行技術、大量のIDを発行して電子証明書と認証鍵に紐付けて管理するなど技術的なノウハウを保有しています。セキュアアクティベートサービスは、その得意技術をIoT領域に活かして開発したものです」(武田氏)

 同サービスは、IoTデバイス自体の重要データを保護するための組み込み型ICチップを発行する「IoTデバイス向けセキュアエレメント(Edge Safe®)提供・発行サービス」と、IoTデバイスがクラウドへ接続するための電子証明書・認証鍵の配信を一括管理する「電子証明書・認証鍵配信サービス」の2種類を用意している。IoTデバイスや提供するサービスの内容によって、両方またはどちらかを選んで活用することができる。

 「用途やセキュリティをどこまで担保したいかによって選択していただける仕組みです。認証だけできればいい場合などは、既存のマイコン上で動くライブラリを用意しているので、“電子証明書・認証鍵配信サービス”と接続して使っていただくことも可能です」と同グローバルセキュア本部 DXソリューション開発部 SE開発チーム 課長の中山健司氏は説明する。

▼ セキュアアクティベートサービスの全体像


セキュアチップ開発から電子証明書・認証鍵運用まで

 PCやサーバ、クラウド上での開発をおこなう情報システム領域とは異なり、メーカーの組み込み開発では、外部のサービスや汎用製品を活用するという文化には馴染みがないかもしれない。ただし、セキュリティ対策という終わりのない闘いに関しては、こういった外部のサービスを活用して対策するのが有効である。

凸版印刷株式会社
DXデザイン事業部 事業推進センターグローバルセキュア本部
DXソリューション開発部 SE開発チーム 課長
中山健司氏

 デバイスにセキュリティのための専用チップを実装するとコストはかかるが、改ざんや乗っ取りといった被害が起きれば、それをはるかに上回る損害が発生することもあるだろう。管理時にも、電子証明書の期限切れが発生してしまうとサービスが止まり、実際に製品回収を余儀なくされた例もある。それに対して今回のセキュアアクティベートサービスでは、IoTサービスを提供する企業が自社で仕組みを構築・運用するのに比べると、低コストで利用できる。これらの理由からIoTデバイスのセキュリティ対策は、外部のサービスを活用するのが有効となるのである。

 その中でもTOPPANのサービスは、他の領域での実績や運用経験に基づいているところに強みがある。「セキュアエレメントの機能を活用し、セキュリティソフトウェアを開発する技術力を持つのは、国内で数社レベルです。電子証明書・認証鍵のライフサイクルを含めて運用管理できる会社となるとさらに少なくなるでしょう」(中山氏)

 同サービスはこれまでに、金融系の決済端末や営農支援サービス、電子マネー決済の自販機などでの導入実績があり、ほかにも今後、ロボットや自動車などのスマート技術領域での活用も想定されているとのことだ。導入にあたっては、事前に管理画面のデモサンプルや開発用のセキュアエレメントを搭載したマイコンボードや拡張ボードも用意する。チップのサイズは5ミリ角程度なので、「実装できないIoTデバイスはないレベル」(中山氏)となっている。

 全世界のIoTデバイスは2022年には350億台に上るとされ、以降も急速に拡大するとの予測がある。一方、セキュリティ対策はおざなりで、そこを狙った攻撃や大規模なインシデントも確実に増えてきている。

「セキュリティ事故が起きると、企業は情報の悪用などの実際の損害以外にも、ブランド価値が毀損されるような多大なダメージを被ります。我々は実績のある技術をIoT領域に展開することで、デバイスメーカーや事業者の皆さまをサポートしていきます」(武田氏)

~あわせて読みたい~
年々増加の一途をたどるサイバー攻撃。インターネットやスマートフォンの普及やデジタル化とオンライン化が急速に進む一方で、セキュリティリスクも高まっています。サイバー空間をはじめ、デジタル領域への攻撃から被害を防ぐためのセキュリティ対策は徹底して実施する必要があります。サイバー攻撃対策で押さえておきたい20のキーワードを解説します。

サイバー攻撃対策で押さえておきたい20のキーワード

2021.10.22