IoTでのセキュリティがなぜ大きな問題になるのか?

Roppongi Hills / Minato-ku, Tokyo

IoTは「Internet of Things」の略であることは、よくご存知だろう。「インターネット」を使わないと、「IoT」ではない。つまり、測定する結果をどこかに送るにしろ、それを受けるにしろ、あるいは、制御情報を送るにしろ、それを受けるにしろ「インターネット」をデータが通らないと「IoT」とは言わない。つまり、「IoT機器」は全て通信にインターネットを使うことが大前提だ。なぜインターネットを使うかというと、遠隔地でデータのやりとりをするからだ。それにインターネットを使うことにより「専用のデータ線」を使うよりも思い切り低いコストで遠隔地どうしで通信ができるのだ。

また、最近のIoT機器で使われている人工知能システムなど、小さな筐体に入りきらない高性能なソフトウエアや、膨大なデータは、クラウドシステムとのデータのやり取りをインターネット経由で行うことは当たり前になった。であれば、インターネットを使わないIoT機器は全く考えられなくなった、と言っていい。

しかし、インターネットを使う、ということは、インターネットという大海を通して、データがやりとりされるわけで、そうなると、大海にいるのは、サメであったりクジラであったり、つまり、ハッカーなどが常にやってくることを考えて、IoT機器を開発しなくてはならない、ということだ。「IoT機器にはハッカー対策は不可欠」ということは、つまりそういうことだ。

 


「IoT」と「セキュリティ」の関わり

専門外の人にはわからないかもしれない。ぼくのように専門家でもわからなかった。いや、専門家だからこそ、わからなかった、と言っていい。最近は「IoT」と「セキュリティ」は、2つのキーワードではなく、相互に補完するような関係になったのだな、と、思うことが多くなった。そんな中で、「IoTのシステムにはセキュリティが必要、なんてのは常識以前の当たり前の話で。。。」なんてぼくは言っていたのだが、ぼくの「当たり前」のことを、最近はそうはみなしていない。別の単語が合成されたものだと思われている。そういう知識がない、という技術者が増えたのだ。完全に「セキュリティ」と「IoTは別の分野だと思っている。これでは素人と同じだ。

たとえば、IoTでよく使われるボードコンピュータの設定をするとき、セキュリティの設定なんてのは、ぼくはまぁ、当然のように普通にやることだと思っていたら、なんと、最近の技術者は技術が細分化されていて「セキュリティのことはセキュリティ技術者にやってもらうこと」になっちゃったんだな。「IoT」もそうで「IoT専門の技術者がやる」って事になってる。でもぼくらはどちらも当たり前のこととして一人でやっていたんだが、それぞれ専門が違う、というのが、現状のICTの業界なんだな。しかし、それでは技術が有機的につながらない。意味がない、ってときも出てくる。両方を知っているから、できる。そういうことがあるんだな。素人ならキーワードで分野が別れいてると思うのはしょうがないだろうが、事実はそうではなく、両方知らないと全く製品ができない。

たとえば、最近流行りの「EMP攻撃」を受けた場合などは、今度はコンピュータや回線のケーブルを電磁波妨害からいかに守るか?ってことなんだが、ぼくらの時代は、一人で「ハードウエア」「ネットワーク設定」「セキュリティ設定」「ソフトウエア」を全部やって、目的のものを作るのが当たり前だったんだな。だから、そういうものに対抗する技術は全てがぼくの手の中にある。なければならなかった。だから、その頃の友人同士の会話だと、「おい、セキュリティのためにftpポート閉じてる?どうせ今回のシステムでは使わないんだからさ、閉じとけよ」「あ、忘れた。やっとくわ」とか、「EMP攻撃を受ける前提でケースえらんだんだけど、どこでテストするといいかな?」「あぁ、その大きさなら、あそこの研究所しかないよ」「ありがとう」「じゃ、ソフトウエアもそのテストでおかしくなって、途中で止まるところがトレースできるようにログ吐いとくな」「わかった」みたいな感じ。つまり、「ハード」「ソフト」「ネットワーク設定」「セキュリティの知識」が全てないと、会話ができなかった。しかし、今の若い技術者はこういう会話ができないんだよね。

悪く言えば、レベルが下がったんだな。僕らの頃は「IT技術者」といえば、そこいらへんの知識はみんな持っていて当たり前だった。今はみんなばらばらだ。

だから、「IoT」と「セキュリティ」が別々に語られることが多く、それを前提にIoTとセキュリティが語られることが多くなったんだな。なんか、それって、やっぱレベル低くなったんだと思うよ。それじゃ素人ですよ。

そのとき、そのときは、チームでそれぞれが「ソフトウエア担当」だったり「ハード担当」だったりするのだが、みんな知識としては同じものを共有していた。だから、会話が成立していたんだな。

なーんていうと、「遠い目のおじさん」なんだが、いや、実際、それじゃ世界には出ていけないよ。

 



「IoT」と「セキュリティ」の向こう側にあるもの

私の主な専門は「IoT」と「セキュリティ」なので、講演をしてくれ、とかセミナーをしてくれ、という話があるのだが、特に最近多いのは「IoT」のほうで、「セキュリティ」はあまり人気がない。「IoT」は、やはり結果が目に見えるものが多く、しかも費用が少なくて済む。そして、プラスのイメージを多く作れるんだけれども、「セキュリティ」は「何事もない」のが成功であるわけで、人気がないのもわからないではない。日本のIT業界全体で考えると、どうもIoTのほうに比重がかけられており、「セキュリティ」は「人工知能」よりも重要視されていない感じがある。実際、経済産業省の補助金などもIoTに比重が高いように思える。

とは言うものの「サイバー攻撃にやられた!」という報告は多くの日本の組織で聞くようになった。世界の中で日本も例外ではなくなってきているので、重要なことではある。問題は「セキュリティ対策が効いている」ことをいかにそれに費用を出す人たちにアピールするか?ということだ。なによりも、組織に密着したセキュリティ技術者がその組織の目的、性質などをよく把握したうえ、その組織に合致したセキュリティの対策をいかに合理的に、かつ安価に提供できるか?ということが重要なのは言うまでもない。そのためには、お客様にあった、きめ細かいセキュリティ対策提案を必要とする。安くできるとは言うものの、人件費がかなりかかるものではある。

このあたりの費用がどのくらいかかるか、それをどう抑えるか、というのがノウハウなのだが、当然のことながら、お客様を騙すわけにはいかないので、様々な技術的に高度な工夫が必要になる。この技術を持っている会社は日本でも少なく、その会社の中でも非常に少ない人員しかこのことをわかっていない。

やがて、日本でもセキュリティインシデントの報告が多くあるだろうが、米国と違って組織のオープンな気風がないので、そういうマイナスの情報は闇に葬られることも多く、なかなか表に出てこない。実際に、セキュリテイの研究者は個別に企業などの組織にあたって、個別に情報をとってくるしかないので、非常に費用対効果が低い分野になってしまっているのが現状だ。JCPERTやIPAなどの政府系団体でも、なかなか存在感が少ないのはそのためかもしれない。

 


最強のセキュリティ:Linuxを使う

このところ、ランサムウエア「WannaCry」が世界中で猛威をふるっているが、実際のところ、これはWindows、iPhone、MacOSには感染するらしいが、Windowsも古いWindowXPのみが感染する、と言われているものの、WindowsXPの後期以降のものも感染する場合もあるらしい。古いOSを使い続けている、ということでなければ、まず大丈夫であるようだが、日本での感染例はあまり多いとは言えないのが現状だ。だからといって、今回のWannCryの次にもいろいろなランサムウエアやウィルス、マルウエアの新手がやってくることは間違いない。油断はできない。

そこでお薦めしたいのが、無料のOS、無料のOfficeスイートが付属している「Linux」だ。最近はLinuxといっても多くのものがあり、とりあえず、メジャーなのはUbuntuというLinuxだ。私はこのBLOGもUbuntuのデスクトップからアクセスしているのだが、ウイルス被害には会ったことがない。実はLinuxでもウィルスはある。しかし、あまりメジャーではないので、なかなか狙われないのだ。ウィルスの作者というのは、世の中に影響の大きいものを狙うので、世の中に余り影響の無いマイナーなOSは狙われない、というわけだ。

しかも、最近のLinuxはかな漢字変換から、Officeに至るまで、Microsoft社のファイルは全て読み書きできる。問題はないわけではないが、デフォルトの文字フォントが少々違うために、文書のレイアウトが多少崩れる、という程度だ。こういうことは使っているプリンターの違いなどでも出てくる問題であり、通常はそういう問題が起きないような文章の書き方を学んでいないほうが悪い、と言われるものだ。

よりディープなOfficeの使い方として、VBAなどのスクリプト言語を使っている文書というかプログラムそのもの、みたいなものなどがあるが、Linux用のOfficeにはその機能はないので注意が必要だが、通常はVBAを沢山使う文書や表計算の表はないので、ふつうは問題が起きない。

後はいわば「慣れ」の問題が大きいだろう。慣れてしまえば、どのOSの環境も似たようなものだ。

セキュリティに最強のOSとOffice。現在はこれしか選択肢はないのではないか。

 


Webサイトのリニューアルや会社のネットワークのリニューアルにはセキュリティに気をつけて

このところ、ニュースだけではなく、私の周辺のあちこちで、インターネットからの侵入者を防ぎ切れず、会社で扱っているお客様のメールアドレスや社員のメールアドレスが流出したらしい、とか、そういう話を聴くことが非常に増えた。実際、私の運営しているサイトでネット経由で来る外部からの「攻撃」や「攻撃の予備行動」とみられるアクセスはこの半年で急激に増えてきた。

攻撃はどこから来るかというと、日本国外がとても多く、いろいろな国からまんべんなく来ているように見える。

ぼくの仕事の大きな部分も、このセキュリティに関わるもののご相談が増えつつある。日本では経済産業省も、新しい法律を作り、これに国のレベルで対抗をすることを考え始めている。

自分の本職といえばそうなのだが、怖い世の中になってきたものだ、というのが実感だ。

 


【仮想通貨も例外ではない】現実となった「セキュリティ最期の日」

港区の紫陽花

今の世の中はインターネットの接続、銀行オンライン、すべてに「暗号」が取り入れられている。しかもほとんど同じ形式の暗号である。ネットで銀行オンラインをやると、かなり複雑な暗号を解かなければ生のデータにはアクセスできない。その解読には近年使われている普通のコンピュータでは100年、という途方もない時間がかかる。計算速度が世界で一番速い、と言われている「スーパーコンピュータ」でさえ、数百時間は解読にかかる、と言われている。別の言い方をすると、今使われているデータ通信用の暗号は、必ず解くことができるが、それには途方も無い時間がかかるため、暗号を解く、という行為を実際にコンピュータにやらせても、解読によって得られるコストがペイすることはまずない、ということになる。計算そのものに膨大な時間がかかるので、「解読」という作業のコストが見合わない、ということになる。よく防犯の教室とかに行くと、泥棒は泥棒をするために部屋に入るとき、数分以上の時間がかかるとなると、入るのを諦める、ということを聞く。長い時間をかけて部屋に入っても、捕まる確率が非常に高くなるからだ。現在世界でデータ通信に使われている暗号も、同じことだ。

しかし、先日、インテル社から、72コアを擁する「Xeon Phi」を市場に投入する準備ができた、というニュースが入った。また、試作ながら「U.C.Davis」では、1000コア・低消費電力のCPUを作った、というニュースも入ってきている。当然のことながら、今年から来年にかけて、128コアとか256コアのCPUも当たり前にアナウンスされるだろう。

こういう世の中になってくると、机上のPCに数百コアのCPUを持つスーパーコンピューターの役割をさせることは屁でもない、という世の中になる。3Dのゲームはいっそう手の込んだものになって、リアルタイムで途方も無い多くの事象を動かせるなど、画像がよりリアルになる。「机上スーパーコンピュータ」は、良いことに使えばもちろんそれなりの結果を私達に見せてくれることは間違いない。ついでに、「量子コンピュータ」が実用化されそうな気配もある。これができれば、演算速度は現在のシリコンの半導体の桁を超えて、飛躍的にあがる。

しかし、インターネットもここまで広がる前は、悪いことに使われる、なんてことはほとんど思わなかったが、実際におとずれたネット社会は、誹謗中傷の嵐とか、ウィルスを仕込んだメールが蔓延する、なんだか住みにくい世の中になってしまった、などということになった。良い面があればあるだけ、またダークサイドも大きくなるのは、世の習いである。であれば、スーパーコンピュータを手にした犯罪者はこの途方も無いCPUパワーをなにに使うのか、を考えておくことは無駄ではあるまい。よく切れる包丁は使い方によって凶器にもなるし、よく走るクルマは銀行強盗が追手の追求を逃れるにも役に立ってしまう。

一番恐れなければいけないのは、「机上スーパーコンピュータ」は、数千コアとか数万コアを擁する、そのCPUパワーで、暗号を無意味なものにすることだろう、ということだ。これまでは数百年かかってやっと解ける暗号が数秒で解ける。そのスーパーコンピュータが個人が手が届くものになる、ということは、そういうことだ。

銀行のオンラインで使われている暗号はもう暗号ではなくなる。犯罪者に狙われたあなたの預金は一瞬でなくなることもある。

いま、私達の目の前には「今までのデータ通信セキュリティが全く用をなさない時代」が開けている。そうなったとき、あなたと私はどうしたらいいだろうか?今から考えて置く必要がある。

「セキュリティ最期の日」は、もうすぐやってくる。数年以内に。そして、現在もてはやされているブロックチェーン、そのブロックチェーンの安全を担保している「暗号」もまた、この問題の脅威にさらされていることは付け加えておこう。

ちなみに、マイナンバーで使われている暗号は2048ビット符号化されたもので、現状ではかなり強固な部類に入る。また、日本国内で話題になることが多い「京」は数万CPUコア、現在のところ世界一の速度を誇る大陸中国の「神威」はその10倍のコア数を持つ。



クラウドブックのセキュリティは非常に強固

ところで、Chromebookに代表されるクラウドブックの一番のポイントは現状で2万円台、と、価格が非常に安いことだが、誰しも気になるのはセキュリティだ。結論からいうと、現状はかなりセキュリティが強固だ。まず、アプリケーションが動作する本体プログラムはサーバー側にあるから、サーバーのセキュリティはどうしても強固にせざるをえないわけだが、サーバー側はかけるお金が集中するところでもあり、セキュリティもまたお金をかけて非常に強固にせざるをえない。また、データをクラウド側に置くのがデフォルトであるため、PC側に侵入されてもデータはなく、データを盗む側にPC内のデータを盗む意味がない。さらに、OSがよく知られたWindowsではなく、Linuxであるため、ファイルなどの構造も違うから、今までにハッカーが持つ知識の蓄積が役に立たない(現状では)。など、特に企業内情報システムセキュリティ関連の管理者には嬉しいことばかりだ。また、アプリケーションソフトウェアやOSのアップデートなども知らないうちに行われるので、起動時や終了時などにアップデートで待たされることもない。また、構造的にウィルスやスパイウエアは存在できなくなるので、今までPCを重くしていたセキュリティソフトも必要ない。

ただ、大きな問題がないわけではない。まずサーバー側の不具合はすべての端末に影響を与える、ということや、ネットの通信回線がコケると、すべての端末が使えなくなる、などのリスクが伴う、ということもある。これもセキュリティの不安といえば言えるものだろう。また、サーバー側がハッキングされるとすべてが動かなくなったりするわけで、サーバー側のセキュリティ対策が重要になる。

結論から言えば、クラウドブックのセキュリティは基本的に強固で満足できる。しかし、回線やサーバーなどのインフラの不安定が問題となるが、それはこれまでのPCだって同じことだ。

クラウドブックにおけるセキュリティは、サーバー側で守られる。これから、サーバー管理者は大変であるが、その代わり、PC側ではセキュリティについてほとんどすることがなくなる。