第３５０号コラム「ＩｏＴのセキュリティ対策」

第３５０号コラム：小山 覚　理事（ＮＴＴコミュニケーションズ株式会社　経営企画部
　　　　　　　　　　　　　　　　　　　　　　　　マネージドセキュリティサービス推進室　担当部長）
題：「ＩｏＴのセキュリティ対策」

最近は「ＩｏＴ（アイオーティー）」という言葉が流行している。

ＩｏＴはInternet of Things（モノのインターネット）の略称であり、パソコンやスマホだけではなく、身の回りにあるモノの多くがネットに繋がり、様々なデータをクラウドに転送し、様々な視点で分析し、生活を便利にするとともに、新しいビジネスも生み出すと言われている。

ガートナーによれば、２０２０年には２５０億もの「モノ」がインターネットに接続されるそうだが、通信会社に勤めている私にとっては明るい未来よりも、大量に発生するであろう管理者不在の「モノ」がサイバー攻撃の温床になりはしないか、今から心配でならない。今回はその老婆心コラムにお付き合いいただきたい。

例えば各家庭には、インターネットに接続するブロードバンドルータが設置されているが、この機器が大きな問題を引き起こしている。機器の設定不良や脆弱性が原因となり、第三者に大量の通信を集中砲火のごとく送りつける攻撃が横行している。

あたかも多数の反射鏡を１点に集中させるようなこの攻撃は、広く薄く通信を１箇所に集めるだけで１００Ｇｂｐｓを超える攻撃を発生させることも容易い。ＮＴＴコミュニケーションズが提供するプロバイダ・ＯＣＮのサービスが一時的に麻痺させられたこともある。

第三者の攻撃を反射し時には増幅させるこの攻撃は、インターネットを安定的に運用する上での大きなリスクである。根本的な対策を行うためには個人が所有するブロードバンドルータの基本ソフトを新しく更新する必要がある。しかしこの対策がなかなか進まないので頭が痛い。

例えば、Ａ社製の製品Ｂに問題がありバージョンアップが必要だと仮定しよう。しかしＡ社には製品Ｂのユーザリストが整備されているとは限らない。またＡ社のホームページに告知しても見る人は少ないだろうし、ニュースで「Ａ社製の製品Ｂに重大な欠陥」と報じても、自分の問題と気付ける人はどの程度いるだろうか？

各家庭の入り口にあるブロードバンドルータでさえ利用者への接触が難しい現状を考えると、ＩｏＴ時代になり様々な「モノ」がインターネットに接続され、しかも誰に売ったか誰から買ったかもわからない状態で、長期間、中には１０年以上も使い続けることを想像すると、今からしっかりと「ＩｏＴのセキュリティ対策」を考えておく必要があると強く思う次第である。私の知る限り１０年間も安全な状態を保てたＩＴ機器は無い。

プロバイダが行う対策としては、あまりにも「モノ」からの攻撃がひどい場合、特にその攻撃の影響で他のユーザの通信サービスに影響がある場合などは、「モノ」に付与されているＩＰアドレスから利用者を割り出して注意喚起をする場合がある。

このＩＰアドレスから利用者を割り出す行為は、通信の安定運用に必須の場合は適法とされているが、本来はＩＰアドレスからユーザを特定する行為は、憲法で保障された「通信の秘密」を侵害する行為であり、通信事業者が正当な理由なしに行うと電気通信事業法違反で懲役３年または罰金３００万円未満の処罰を受けてしまう。

つまりプロバイダもこの「モノ」対策に動ける場合と、そうでない場合の両方があるわけである。

この管理者不在状態の「モノ」を作らないためには、端末機器メーカやクラウド事業者、通信事業者が連携して、ＩｏＴに係わる全体のセキュリティ対策について「システム」としての完成度を高める仕組み作りを進めなければならない。

その上で、どうしても発生してしまう野放し状態の「モノ」に対しては、持ち主を見つけて注意喚起するだけでなく、ネットワークから切り離してしまうような対策も検討すべきであろう。

すでに足音が聞こえているＩｏＴが普及する前に、この課題に戦略的に取り組んで、平和で豊かな社会の実現に貢献したい、まだ間に合うと思いたい今日この頃である。

【著作権は、小山氏に属します】