〒186-0002
東京都国立市東2-21-3

TEL : 042-843-0268

製品進化とマネジメント風景 第59話 IoTセキュリティーマネジメント

21世紀はデータの世紀と言われています。データを集めて分析することにより、人間が認知したマクロな現実だけでなく、これまで見えなかったミクロな現実を可視化でき、人の意識、モノの動き、市場動向等の間の相関関係を認識できるようになりつつあります。そして、この相関性を知れば、高い確率で売れ筋の製品やサービスを提供できるようになり、儲かるビジネスを展開できると信じられています。あるいは、工場内のモノの動き、人の動き、設備稼働のデータを取得し、それらを分析することにより、生産性が向上して製品をコストダウンでき、事業の競争力を強化できると考えられています。

上記の前提は、データを収集するためのコストに比べ、データ分析によってcreateされる顧客価値が高いことです。IoTが事業として成立するための必要条件は、データの取得と通信にかかる費用が劇的に低減することだと考えられますが、これは既に満たされつつあります。事業として成立するための十分条件は、顧客が高いお金を払っても欲しいと思うサービスを提供することだと考えますが、こちらの広がりはどうなっているでしょうか?

今から20年前においても、IoTサービスはすでに存在していました。ただ、データ通信はコストの高い専用線が利用され、データを取得するセンサも複雑構造の装置が使用されていました。当然、コストが高いため、IoTサービスは重要な社会インフラなどに限定されていました。具体例としては、航空エンジンや建設機械分野の保守サービスが挙げられます。これらの分野では、製品の稼働率の僅かな差が顧客の利益を大きく左右するため、IoTサービスはすぐに受け入れられるようになりました。しかし、社会インフラ以外の分野に広く普及することはありませんでした。

その後、無線インターネットの利用拡大とセンサ半導体の価格低減により、IoTに要する費用が激減しました。さらにデータ分析についても、分析方法は人間が考案する必要があるものの、得られたアルゴリズムをプログラム化してAIに移植することが可能となり、データ分析コストが大幅に下がりました。この結果、IoTを事業化できる領域が急速に広がりつつあります。

以上からデータの世紀、IoTの世紀到来だ、と言いたくなるのですが、ここに待ったを掛ける存在が出てきました。言うまでもなく情報セキュリティー問題です。この数年で、企業や個人の重要情報が集められ悪用される事件が急増しました。これらの事件により、多くの人が精神的痛みを感じました。まだ、身体的な痛みを伴う事件は希だと思いますが、今後増える恐れがあります。身近に、無人車やドローンが現れはじめているからです。これらのモノが悪意ある者に乗っ取られれば、身体的な痛みを伴う事件が起こるのは時間の問題だと容易に想像できます。

今日ではサイバー攻撃の約半分はIoT機器を対象に行われているという報告が出ています。この10年間に発生した社会インフラへのIoT攻撃を具体的に挙げてみましょう。以下の情報はNHKのIoTクライシスから引用しています。

まず、2000年にオーストリアの下水処理システムが攻撃され、下水道が詰まる被害が発生。2003年には米国の原子力発電所の制御システムが攻撃されて数時間操業停止。同年、米国の鉄道信号制御システムが攻撃され、路線のダイヤが混乱。2005年には同じく米国の自動者工場が攻撃されて操業停止。2008年にはポーランドの路面電車が攻撃され、脱線事故が発生。2010年にはイランのウラン濃縮施設における遠心分離機が攻撃されて破損。イランの話はニュースで大きく取り上げられたので知っている方が多いでしょう。2014年にはドイツの製鉄所の制御システムが乗っ取られ、正常停止が出来ずにプラントに被害発生。2015年にはフィンランドの国営航空が攻撃されて欠航発生。2016年、やはりフィンランドの集合住宅が攻撃され、全館の暖房が停止。日本では現在、発電所、病院、オフィスビル、ダム水位制御などの社会インフラの乗っ取りとランサム化が懸念されています。

上記の話は社会インフラに限定されていますが、IoTは家庭や個人の領域に広がりつつあるので、IoTにおける情報セキュリティーは、今後、個人の生活にも大きな影響を及ぼしていくものと予想されます。では、優先順位が高い事は何でしょうか? それを考えるための準備として、まずIoTの構成がどのようなものかを確認します。

通常、IoTは、制御装置、センサ、アクチュエータとネットワークから構成されています。様々なIoT製品の中で、セキュリティー対応の優先順位を検討する際、1つの有力な見方は、アクチュエータの有無です。アクチュエータが無い場合、IoTはデータを計測して送信する機能がメインとなります。多数のセンサでデータを収集する場合には、センサはもちろん、制御装置も簡素化、低コスト化する必要があり、高度な情報セキュリティー機能を持たせることは困難でしょう。最悪、盗聴されるリスクを考えておく必要があります。

一方、アクチュエータがある場合、物理的な力を発現します。アクチュエータの寸法が大きく、動きが俊敏であればある程、人間に衝突した影響は大きくなり、怪我をさせる可能性も高くなります。よって、人間に身体的な痛みを与える種類のIoTシステムは高い優先順位でサイバー攻撃から守る必要があります。

アクチュエータがある製品も様々なので分類して考えましょう。ここでは3つに分類します。第1は、IoT装置は静止しているが、そこに装着された一部分が動く場合です。例としては工作機械や産業用ロボットなどです。第2は決められた道筋上だけを動く場合で、電車や工場内における線路付き搬送機などがこの分類に入ります。第3は、二次元平面上あるいは三次元空間内を任意の場所に移動できる場合であり、具体例は自動運転車とドローンです。自動運転車としては、無人乗用車、工場内の無人搬送車および資源掘削現場における無人トラックなどが含まれます。ドローンについては民間用途と防衛用途があります。無人で自由に移動できるモノは、サイバー攻撃により乗っ取られるとやっかいです。乗っ取りにより死亡事故が多発したならば、社会は受け入れを拒否し、その事業は停滞するでしょう。

ここからIoTに対するサイバー攻撃を検討していきます。大きく2つのタイプに分類できると考えます。1つは、対象のシステムそのものが攻撃対象である場合であり、システムに侵入後、盗聴、なりすまし、データあるいはプログラム改ざんする、あるいはシステムを乗っ取る攻撃です。実際、システムを乗っ取って使用できなくし、身代金を要求するランサム攻撃が増えてきました。

もう1つは、別の大規模な基幹システムを攻撃するための攻撃用リソースの1つとして乗っ取る場合であり、DDoS攻撃と呼ばれるものです。DDoSはDistributed Denial of Serviceの略であり、システムをダウンさせ、そこからシステムに侵入する攻撃です。例えば発電所、化学プラント、電車、航空機など、社会の重要基幹システムは強力なサイバー防御システムを持っているので、通常のDoS攻撃ではダウンしません。しかし、何千、何万もの小さなシステムが乗っ取られ、そのリソースを統合して攻撃を仕掛けられると、強力な防御システムもダウンしてしまいます。そして、その小さなリソースとして最も狙われるのがセキュリティーの弱いIoTシステムです。

システムが単体として乗っ取られるのは大問題ですが、乗っ取られたシステムが別の基幹システムの攻撃に利用されるのはより大きな問題です。サイバー上の攻撃と防御はリアル世界における攻撃と防御と同様、いたちごっことなりますが、知らないうちに攻撃され、気付いたら手遅れという話も多いため、常に最新の攻撃の手口を理解し、タイムリーに対策を打っていくことが不可欠です。

最近のサイバー攻撃の手口はだいたい2つに分類できるでしょう。1つは、無線通信を狙って侵入可能なポートを探索し、そこからシステムに入り込む手口であり、もう1つは、運用中のハードウェアを入手し、保守用のポートからシステムに入り込む方法です。IoT製品は、野外、屋外に設置されたものが多く、現物を盗まれて分解、解析されるリスクがあるわけです。

無線通信は有線通信と異なり決定的な脆弱性を持っています。それは、通信を放送しているため、発信源に近づきさえすれば、誰でも通信を傍受できてしまうからです。IoT用として使われている無線通信としては、スマートフォンや携帯電話に使われている移動体通信LTE、企業はもちろん家庭でも使用されるWi-FiとBluetooth、および電力消費を極力抑えたLPWA (Low Power Wide Area)の3つがあります。これらに加えて現在、非常に注目されているのが車載機器のリアルタイム制御に使うCAN (Controller Area Network)です。CANは元々車内だけのローカルネットワークであり、情報セキュリティー面でそれほど注目されていませんでした。しかし、車がインターネットと繋がり、さらに無人化が議論されるようになり、現在は大きな問題として扱われるようになりました。

LTEは長距離通信が可能です。インターネットと接続されているならば、ある意味、世界中のどこからでも攻撃できることを意味します。Wi-FiとBluetoothは通信距離が短いものの、2017年にKRACKsおよびBlueborneと呼ばれる脆弱性が発見されました。これらの脆弱性に対して適切な対策を講じていない場合、接続しているスマートフォンを乗っ取ることが可能であり、それらのスマートフォンを通して設備や装置の制御システムを攻撃することができてしまいます。

LPWAは扱うデータ量は少ないが低電力消費なので長期間に渡ってモニタリングできる利点があります。多数のセンサを置くことを想定すると安価に製造する必要があり、暗号化せずに平文のままデータをやり取りするケースが多いようです。ゆえに盗聴リスクは覚悟した方が良いかもしれません。

CANについては、既存規格は問題が指摘されており、新しい規格への移行が検討されています。ネットワークモデルは通常、7層に分けて表現しますが、CANは最下層の物理層とデータリンク層の規格に対応しています。いわゆるIPアドレスに相当するものがなく、エンジンコントロールを司るECUやブレーキ制御を司る命令は、IDという11ビットあるいは29ビットの暗号を通して制御されています。11ビットタイプでは2048の組合せしかないので全数攻撃可能です。29ビットにすれば約5億通りの組合せまで増えるので全数攻撃はかなり難しくなるでしょう。

CANについては、実際、2015年に乗っ取りが可能であることが研究者達によって判明しました。まず、CANの中にはWi-Fiによってインターネットと接続されているヘッドユニットがあります。そのWi-Fiパスワードの設定ルールが解明され、まず、ヘッドユニットに侵入されました。ここから更にゲートウェイを経由してCANの内部に入り込み、ECUのファームウェアを書き換えられることを実証したのです。ECUはエンジンコントロールのコアですから、ここを書き換えられた車は暴走しかねません。ちなみに、仮にインターネット経由でのヘッドユニットからの侵入を防いだとしても、ECUにはIPアドレスがないので、乗員のスマートフォンを乗っ取れば、そこからECUになりすましてCANに指示を与えることも可能です。

無線通信による乗っ取りに関しては、車や社会インフラ設備などの一定価格以上の製品では、今後、暗号の高度化に加え、なりすましを検知するメッセージ認証機能が追加されるでしょう。これに対して心配なのはドローンです。ドローンについては、たとえ価格がアップすることになったとしても、サイバー攻撃対策を入念に行う必要があると考えます。ドローン攻撃の恐ろしさは、2019年に公開された米国映画「エンド・オブ・ステイツ」を観れば、誰にでも理解できると思います。

次にハードウェアを解析して弱点を見つけて攻撃する手法についてです。屋外に設置したIoT製品は常に盗まれるリスクがあります。盗難を防御することは可能ですが、コストアップするため出来ることは限定されます。IoTのハードウェアには開発用あるいは保守用のポートがあり、ここから内部システムにアクセスすることが出来ます。通信可能なポートを探知し、そこからファームウェアをダウンロードし、ソフトウェアを解析することにより弱点を探し出す、あるいは、ファームウェアを直接改ざんしてからアップロードして元に戻せば、実質的に乗っ取ることも可能でしょう。

データの世紀といわれる時代において、製品システムには2つの道があるように思います。1つはインターネットと接続して双方向通信を可能とする道であり、現在、多くの企業がこれを積極的に進めています。もう1つは前回コラムで議論したスマートコントラクトによる自律分散的にミッションを遂行させる道です。

リアルタイム制御が必要な製品ではその場での迅速な判断が求められるため、仮にインターネットに接続されていたとしても、クラウドにデータを送って分析してフィードバックを待つのでは時間が掛かりすぎて役に立ちません。制御側(エッジ側)で多くの演算をして迅速判断できる頭脳(コンピュータ)を持つ必要があります。インターネットと常時接続しているとサイバー攻撃を受けるリスクが高まります。そのため、攻撃を防御するためのコストが重要指標であり、このコストを抑制できないと事業が成立しなくなります。ゆえに、セキュリティーコストが高くなりすぎると、自律分散型IoTが優位になることが予想されます。自律分散型は、インプットとしてスマートコントラクトによりミッションを与えれば、ミッションが終了するまでインターネット接続をする必要が無く、攻撃を受けにくいからです。一方で、こちらは誤ったコントラクト内容をインプットしてしまうと社会に害を及ぼす可能性があります。

良い事と悪い事はセットでやってくるので、今後の事業は常に両者のバランスを取る必要があります。自分の事業領域だけでなく、それが社会に及ぼす影響を常に考える必要があるということです。そのためには部分思考ではなく、全体を俯瞰するシステム思考が必要です。日本ではこれまでシステム思考はあまり重視されてきませんでしたが、様々な事が繋がっている今日の世界では、システム思考は役に立ちます。むしろ生き残るために必須のツールといっても良いでしょう。もし、貴社がシステム思考の重要性を認識されており、しかも相談相手を欲しているならば、是非、当社にお声掛けください。

参考文献 1.IoTクライシス2018、NHKスペシャル取材班