第413号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「IoTのセキュリティ対策、その2」

IoTのセキュリティ対策が盛んに議論されるようになってきた。第350号コラム「IoTのセキュリティ対策」ではプロバイダの視点からIoTの懸念をお伝えした。コラム読者からも反響をいただき、IoTに関わる研究会やセミナーなどで愚説を紹介する機会を得ている。今回は「その2」としてその後の取り組み状況についてご紹介したい。

350号コラム執筆後、有難いことに平成27年度第1回研究開発戦略専門調査会で発表の機会をいただいたので、変化の激しいIT業界においても「10年後も機能するセキュアなIoTを実現する枠組み」を検討し、各関係業界の「IoTセキュリティ対策ガイドライン」を作成する取り組みについて提言し、自らも取り組んできた。http://www.nisc.go.jp/conference/cs/kenkyu/dai01/pdf/01shiryou0602.pdf

IoTセキュリティ対策ガイドラインの必要性は、NISC・総務省・経済産業省など、関係省庁の時運も相まって、IoTビジネスにおける国際競争力強化の取り組みにセキュリティ対策は不可欠との共通認識のなか、官民の連携の大きな動きにつながった。あれよあれよという間に、官民が連携したプロジェクト「IoT推進コンソーシアム(10/23)」が立ち上がり、その下部組織として「IoTセキュリティWG(2016/1/21)」が設立され、「IoTセキュリティガイドライン」の策定に向けた動きが始まった。
http://www.iotac.jp/wg/security/

IoTセキュリティガイドラインは、我が国においてその最初の道筋をつけるという観点からも極めて重要で緊張感のある取り組みである。IoTセキュリティWGではさらに分科会が開催され、網羅的で誤解のない細部の表現へのこだわりと、IoT分野における国際競争力を意識した標準化への深慮と、程よい文章の抽象化について活発な議論が行われた。

ガイドラインの執筆は、総務省と経済産業省が中心となり、IoTセキュリティに関連する民間団体等で執筆中の個別のガイドラインなどの情報が、どさっと持ち込まれ、重複や過不足を調整し、少ない紙面の優先順位を議論して、目次を整理し煮詰めの作業が行われている。比較的短期間であったが広範な課題をまとめることができたのは、IoTビジネスへの期待と、IoTセキュリティ対策の必要性について意見が一致したことと、関係者の情熱の賜物であり深く感謝する次第である。 現在、ガイドライン作成は最終段階であり、残念ながら細部の紹介は公開をお待ちいただきたいが、概ねの考え方は以下に紹介されているのでご覧いただきたい。
http://www.iotac.jp/wp-content/uploads/2016/01/資料2_IoTセキュリティガイドラインについて.pdf

さて、IoTセキュリティガイドラインができ、セキュリティ対策が強化されても、ビジネス面での競争力強化につながらないとガイドラインの真の目的は達成できない。私自身はガイドラインの執筆段階の多くの議論に参加させていただいたが、その期間を通じてモヤモヤとしていたことがある。それは、セキュリティ対策のコストは誰が負担するのかということだ。

IoTには産業用と民生用があり一括りにはできない。しかし売り切ってしまったIoTデバイスのメーカーを探し出して、後出しジャンケン的に対策コストを押し付けるのはナンセンスである。一方で実態として民生用のIoTデバイスが野良化し、悪用され対策を行う際にはプロバイダ等の通信事業者が仲介し、自らのコストで誰かのツケを払っているような状態である。言うまでもなくセキュリティ対策は非機能要件であり、そもそもコストをかけて何かを行う意思決定が難しい側面がある。しかし売ってしまった後から対策を行うと、最初から実装する場合の何倍も必要になることは自明である。

IoTビジネスに関わる総合コストを最小化することは、この分野での国際競争力にもつながると信じて互いに協力し、例えば関係者が少しづつコストを先出しして、利益を後から回収するようなサービス提供モデルを考えられないものだろうか?

【著作権は、小山氏に属します】