すべてが“つながった”IoT時代のサイバー・セキュリティ
あらゆるものがネットワークにつながるIoTの時代。利便性が向上する一方で、サイバー空間の脅威が生活の中に侵入するリスクも高まります。IoTにおけるサイバー・セキュリティの現状と、セキュリティ対策への新たなアプローチについて、数々の業界団体でセキュリティ分野の要職を務めるファーウェイ セキュリティCTO トビアス・ゴンドロム(Tobias Gondrom)に聞きます。
Tobias Gondrom トビアス・ゴンドロム
ファーウェイ セキュリティCTO
独立系ソフトウェア・ベンダーやIT、金融、政府系の企業・組織において情報セキュリティとソフトウェア開発分野で20年以上の経験を持ち、多数のグローバル企業のCISO(最高情報セキュリティ責任者)などに対しトレーニングやコンサルティングを行ってきた。標準化団体でも活発に活動し、IETF(Internet Engineering Task Force)では10年以上にわたりwebsec、LTANS(Long-Term Archive and Notary Services)、DOTS(DDoS Open Threat Signaling)などのワーキング・グループ議長やセキュリティ理事会メンバーなど要職を務め、いくつかのRFC(技術仕様)の共著者にもなっている。2015年まで議長を務めたOWASP(Open Web Application Security Project)およびCSA(Cloud Security Alliance)香港・マカオ支部の理事であり、欧州委員会のNIS(Network and Information Security)プラットフォームのメンバーとしてEUのサイバー・セキュリティとリスク管理に対する提言も行う。ミュンヘン大学卒業、ロンドン・ビジネス・スクール スローン・フェローシップにてMBA取得。
多様化・多層化するサイバー・セキュリティ
企業や個人にとってのサイバー・セキュリティは、かつて各社、各家庭でのアンチウィルスやファイアウォールといった対策で必要十分とされていました。しかし、さまざまなデバイスがネットワークにつながり、クラウド・サービスがあらゆる用途に使われ、それらをつなぐネットワークも仮想化とオープン化が進むにつれ、セキュリティはどこか1か所を守っておけば安全というものではなくなってきました。
とりわけIoT市場には、ICT産業以外の業界からも広範囲にわたって多数のプレーヤーが参画しています。自動車や冷蔵庫、電球や鍵といったこれまでサイバー・セキュリティとは縁のなかった製品のメーカーも、そうしたモノがネットワークにつながるようになったいま、物理的な安全に加えてサイバー空間でのセキュリティをも考慮することを余儀なくされています。
同時に、ICT企業の側もサイバー・セキュリティをより広範に捉える必要があります。攻撃の被害はこれまでのようにサイバー空間の中だけにとどまらず、コネクテッド・カーのハッキングによる交通事故、医療機器の遠隔操作による医療事故など、人命に関わる事態も想定しなければなりません。また、多くのモノはICTのソフトウェアやハードウェアよりもライフサイクルが長く、公共インフラのように数十年に及ぶ場合もあるため、セキュリティにおいてもより長期的な視点が求められます。
加えて、モノとクラウド上のサービスとがネットワークを介してつながることで、セキュリティはセンサーからネットワーク、アプリケーションまで多層的にカバーすべきものとなっています。そこにはチップ・メーカー、ネットワーク機器ベンダー、ソフトウェア・ベンダー、サービス・プロバイダーなど多岐にわたる複数の企業が関わっており、そのすべての製品やサービスがセキュリティ要件を満たしていなければ、安全性を確保することはできません。
多層化するIoTセキュリティ
Miraiが鳴らした警鐘
このように高度に複雑化したIoTセキュリティが差し迫った課題であることを思い知らせたのが、昨年10月に起きたMiraiボットネットによる史上最大規模のDDoS(Distributed Denial of Service:分散型サービス妨害)攻撃です。アマゾンやツイッターを含む100以上のウェブサイトが被害を受け、ピーク時のトラフィックは1秒間に1.2TB(テラバイト)にものぼったこの攻撃は、Miraiがセキュリティの脆弱なIoT機器10万台以上を感染させ、巨大なボットネットを生成して引き起こしたものです。これにより、ユーザーネームとパスワードが製品出荷時の共通設定のままになっている脆弱なIoT機器が無防備に大量にネットワークに接続されていることが露呈し、メーカーやユーザーを震撼させました。
昨年初頭の時点ではDDoS攻撃の規模は大きなものでも毎秒40GBほどでした。それが1年も経たないうちに30倍にも拡大した背景には、IoT機器の爆発的な普及があると言えるでしょう。大量のIoT機器が市場に出まわることは、裏を返せば犯罪者に武器をばらまいているようなものです。
これまで多くのIoT機器メーカーは、自社製品が本来の機能とは直接関係のないネットワーク・インフラへの攻撃に使われるとは想定していませんでした。しかしもはや、機器メーカーは製品ユーザーにとっての安全性を考慮するだけでは不十分です。自社製品が攻撃の対象となるばかりか、より大規模な攻撃の手段にもなりうることを認識しなければなりません。
ファーウェイのDDoS対策
激化するDDoS攻撃に対して、ファーウェイは3段階でアプローチするソリューションを提供しています。
まず、オンプレミスで実装するスタンダードなアンチDDoSソリューションで、ネットワークのエッジにおいて第一段階の防御を行います。ファーウェイのオンプレミス・アンチDDoSシステムは最大1.44Tbpsの処理能力を持ち、100種類以上のDDoS攻撃に対応しています。これは最も確実な方法ではあるものの、攻撃の規模がこれだけ拡大している現在、あらゆる脅威に対応できるだけの機器を展開するにはコストがかかります。
そこで、攻撃が検知された時点でトラフィックをクラウドに転送して、サービス妨害を回避するしくみが有用となります。オンプレミスの機器で攻撃が検知されると、ファーウェイのクラウド・クリーニング・センターにアラートが送られます。同センターはファーウェイがグローバルに展開しているCMA(Cloud Mitigation Alliance)のパートナーであるセキュリティ・サービス・プロバイダーのスクラビング(洗浄)・センターに通知を送り、攻撃で生じた過剰なトラフィックを発生源からできるだけ近距離にあるスクラビング・センターへと数分のうちに転送することで、サービスを保護し、障害を回避します。ファーウェイのCMAは米国、欧州、アジアに点在する10以上のスクラビング・センターからなり、合計で2TB以上のネットワーク容量を有しています。
こうした2段階の防御に加え、ファーウェイが現在取り組んでいるのがAIとSDNを活用したDDoS対策です。トラフィックの状況を機械学習でビッグデータ解析して不審な兆候を検知し、リアルタイムで動的に攻撃トラフィックの転送を行うことで、無防備なデバイスへの攻撃を未然に回避することが可能になります。これにより、アンチDDoS用ハードウェアに多大なコストをかけることなく、大量のデバイスが接続されるIoTのセキュリティに効果的に対応することができます。ソリューションとしてはまだパイロット段階ですが、その一部はIETFで検討されているリアルタイムのDDoS検知に向けたDOTS(DDoS Open Threat Signaling)仕様にも導入されており、将来的にはDDoS攻撃だけでなくさまざまなセキュリティの脅威に応用できる有望な技術です。
DDoS攻撃に対するファーウェイのアプローチ
ユーザー目線のプライバシー保護
IoTがもたらすもうひとつの課題が、ユーザー・プライバシーの保護です。ネットワークにつながったデバイスは、いずれもなんらかの形でユーザーに関する情報を収集します。こうした情報はユーザーにより良いサービスを提供するための貴重な資産となる一方、ユーザーのプライバシーが侵害されるリスクも高まります。必要なのはユーザー行動を知ることであり、個人情報を得ることではありません。技術的に収集可能かどうかではなく、ユーザーの目線から抵抗なく提供できる情報かどうかを基準に据えることが重要です。
プライバシーは社会的背景や文化によって捉え方が異なる難しい問題ですが、欧州ではとりわけ厳しい基準を設けてその保護に取り組んでいます。2018年にはGDPR(General Data Protoction Regulation:EU一般データ保護規則)が施行開始となり、EU全体で共通の個人データ保護体制がより強化されることになります。これに向けて、ファーウェイも欧州でビジネスを行うお客様からどのような策を講じるべきかという相談を受けることが増えています。
ファーウェイは、研究開発機能を統括する『2012ラボ』傘下のセキュリティ・コンピテンス・センターにおいて、将来に向けた最先端のサイバー・セキュリティ技術の研究を行っていますが、同センターが注力している分野のひとつがPET(Privacy Enhancing Technology:プライバシー強化技術)です。高度な暗号化をはじめ、ビッグデータ解析において分析に必要なデータの価値を損なうことなく匿名性を確保する技術の開発を進めています。
IoTエコシステムの成熟に向けて
セキュリティCTOの役割は、先端技術とお客様のニーズを結びつけ、すべての製品やソリューションにセキュリティが設計段階から適切にビルトインされるよう保証することです。世界各国の政府、通信事業者、企業のお客様と活発に意見を交換しながら、R&D、プロダクトラインと緊密に連携し、多様化・複雑化するセキュリティの課題にお客様が自信を持って対応できるようなソリューションの実現を目指しています。
しかし、冒頭に述べたように、IoTにおけるセキュリティは1社の努力だけで成し遂げられるものではありません。IoTに関わるすべてのステークホルダーがエコシステムを形成し、共通の標準のもとにセキュリティの課題に取り組んでいかなければ、拡大を続けるモノの接続をセキュアに維持することは不可能です。
IoTエコシステムはいまだ初期の形成段階であり、多数の通信方式やそれにともなうセキュリティの基準が林立している状態です。今後は実用化フェーズに向けてこれらの標準が集約されていき、より協調的でロバストなエコシステムへと成熟していくことが期待されます。ファーウェイはこれまで、エンド・ツー・エンドのセキュリティ保証システムを確立し、ICT業界全体でグローバルにサイバー・セキュリティの課題を解決していくべきだと提唱を続けてきました。こうした実績を活かし、技術的知見とベストプラクティスを積極的に共有して、より安全なIoTの実現に向けたエコシステムの発展をリードしていくことがファーウェイの使命です。これからも、お客様、パートナー、標準化団体や業界団体と幅広く連携しながら、すべてが“つながった”新時代のサイバー・セキュリティの確立に尽力していきます。
| 米国立標準技術研究所(NIST) |
|---|
| 2016年11月に『Systems Security Engineering』を発行。ネットワークに接続された機器のライフサイクル・プロセス管理に関するIoTサイバー・セキュリティ・ガイドラインを提示 |
| インダストリアル・インターネット・コンソーシアム(IIC) |
| 2016年9月に『Industrial Internet of Things Volume G4: Security Framework』を発行。セキュリティをインダストリアルIoTシステム・アーキテクチャの基本要素とし、エンドポイントからシステム・コンポーネント間の接続までシステム全体のセキュリティを確保することを目標に、業界全体での合意形成を目指す |
| IETF |
| RFC 7744(Use Cases for Authentication and Authorization in Constrained Environments)、RFC 7925(Transport Layer Security (TLS) / Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things)などの仕様において、アプリケーション・レイヤー、伝送レイヤー、ネットワーク・レイヤーのセキュリティ・プロトコルおよびサードパーティの認証・認可プロトコルを定義 |
| GSMA |
| 通信業界に特化したIoTサービス・プロバイダー向けガイドライン『IoT Security Guidelines』を発行。IoTサービスのライフサイクルを通じてベストプラクティスが適用されるよう業界内の合意形成を目指す |
| oneM2M |
| TS-0003(oneM2M Security Solutions)仕様において、アプリケーション・レイヤーにおけるIoT管理およびプラットフォームの標準を策定。要件、アーキテクチャ、API仕様、セキュリティ・ソリューション、相互接続性などをカバー |
| TCG(Trusted Computing Group)IoTグループ |
| IoTセキュリティ標準の策定に向けたIoTサブ・グループを設定。IoTにTCG仕様を適用するためのガイダンスとして『Guidance for Securing IoT Using TCG technology』『Architect’s Guide: IoT Security』を発行 |
各標準化団体で進められているIoTセキュリティへの取り組み