「IoTのセキュリティ」というのは「大変な問題」ではない

今は、あちこちでIoTのセキュリティがどうした、こうした、という話が非常に多い。「工場のキカイが乗っ取られたらどうするのだ」とかいろいろ言われている。しかし、IoTで専用のシステムを作るときは、機器間の通信プロトコルは独自のものとなるだけでなく、通常は通信相手が決まっており、その通信相手しか入れないようにしておく、なんてのは、企業システムとしては標準的なことだ。誰にでもあけっぴろげなセキュリティしかないIoT機器ってのはもともとない。こういうシステムを数多く作ってきた自分としては、「そんなの当たり前だよなぁ」という程度のセキュリティをしていないのは、プロとしてどうかと思っちゃう、ってなもんです。

良く例として出されるのが、ネット経由で遠隔操作できる機能が売りの某T社のビデオレコーダーの話。ビデオレコーダーって「民生品」ですよ。軍用品でもないし、工業規格品でもない。IoTともふつうは言わない。それ以前からあるものだからね。つまり、全くカテゴリが違う機器なんだな。しかも、問題となっているビデオレコーダーに使われているOSのバージョンがまぁ、古いものばかりで、今どき、そんなもの使わないですよ、てなものばかりだ。今時のOSをちゃんと使えば、そのインストール直後の既定値で動かしても問題ないものなんだけどね。

ある方がハッキングのアクセスされまくりの「ハニーポット」を作ったらいっぱい攻撃が来ました、ってそんなのわざわざ作って「こわいですねぇ」って、それ、エンジンが壊れてるクルマにわざわざ乗って「砂漠の真ん中でエンコしました、こわいですねぇ」って言ってるのと同じでしょ?それ意味ありそうに見えてないんですよ。庭に砂糖盛っておいたらアリが沢山来ました、って言ってるのと同じだよ

とにかく、「IoTのセキュリティは問題である」って言ってるのは、実は現状では余り問題にならない、という場合がとても多い。もちろん、わからない顧客になにやらすごいことをしているように見せて、価格の高い商売にしたいから、ことさら強調するんでしょうけど。IoTの電子工作界隈程度で使われているボードコンピュータ:Raspberry-Piでも、ふつうにインストール直後でセキュリティはある程度既定値でなんとかなる。まずはログインできるIDとパスワードさえ変えておけば、その程度で最初は充分だったりする。もっとセキュリティしっかりしたいのであれば、ufwとかipchainsでファイアウォール作ればよろしい。まだ心配ならXXをインストールしてしっかり設定すればいい、って、それも知らない、なんてエンジニアはそもそもエンジニアではない。自動車の運転するのに「ブレーキペダルはどこですか?」って言ってるようなもの

いやもう、最近「エンジニア」、って言ってる若い人がレベル下がりまくってるのは知ってるけどさ、そういうの連れてくるなよ、エンジニアとは言わないよ、ってのはお客様に言われるのあたりまえですよね。カネ返せ、って言われますよ。ふつうのエンジニアになって、ふつうにやりましょうよ。

ということで、結論として「IoTのセキュリティ」は、当たり前の開発技術者であれば、当たり前にやっていることで、商売でもなけりゃ、ことさら強調するようなことでもない。いや、商売だから必要以上に強調する人もいるわけですけど。で、当たり前の技術者ってのもそうそういないんだな。つまり、「当たり前だから価値がある」それがIoTのセキュリティ、って世界ですね。

 


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください