2017. 04. 20 Update !

イマ旬

NTT DATA Technology Foresight 2017シリーズ~Vol.8技術トレンド「IoT時代のセキュリティ」

NTTデータが導出した2017年の情報社会や技術のトレンドを全10回で紹介。第8回目は技術トレンド「IoT時代のセキュリティ」です。

関本佳之
株式会社NTTデータ 技術革新統括本部 技術開発本部
シニアエキスパート 関本佳之

イマ旬の注目キーワード
セキュリティ

さらに深刻化するサイバー攻撃

様々なサイバー攻撃による被害の拡大、深刻化が続いています。2016年はオンラインサービスのアカウント情報、メールアドレスとそのパスワード、場合によっては秘密の質問と回答といった個々人のアカウントに関わる情報が億単位で流出したことが発覚した年でした。
これは、数年前に盗み出されたと想定される情報がダークウェブ上で販売されていることから確認されたのです※1

こうした漏洩を狙う攻撃を検知し、侵入を完全に防ぐことは事実上不可能で、いかに素早く検知し被害を最小限に留めるかが重要になっています。攻撃により侵害された部分をネットワーク的に高速に切り離す技術や、AIを用いた自動防御※2の挑戦も始まっています。

その他にも「身代金要求型マルウェア」とも言われるランサムウェアによる被害も続いています。感染したPCのデータを暗号化し利用できなくした上で、復号するために身代金を要求する攻撃の被害は2013年頃に顕在化し、4年たった今でも続いています。

ランサムウェアで必要なツールはインターネット上で販売されており、攻撃者は安価に入手し、流布させて身代金が手に入るのを待つ「ビジネス」を繰り返しています。犯罪抑止は一般ユーザのリテラシー向上以外には難しく、被害は続くと想定されます。

IoTによるサイバー攻撃の深刻化

2016年にはこのようなサイバー攻撃をより深刻にする要素としてIoTがクローズアップされました。IoT、すなわち防犯カメラ・ネットワーク機器・ビデオレコーダといった機器は、常時インターネットに接続され、情報の漏洩や乗っ取りの危険性に晒されます。そして、このような機器は設置された後は放置される傾向にあります。こうした「野良IoT」を攻撃者は日々探索し、発見し次第、脆弱性を突いて乗っ取り活用します。

2016年末には、世界に散らばる野良IoTは実に数十万台の規模で攻撃者によって「ボットネット」に組織化され、史上最大規模のDDoS攻撃に利用されました。大量のパケットを特定サイトに投げつけアクセス不能にする古典的な攻撃により複数のオンラインサービスが停止する大きな被害を出しました※3。ボットネットはDDoSだけでなく情報漏洩を狙った攻撃にも利用されるでしょう。

こうした事態を受けてIoTにセキュリティを求める声は強くなりましたが、その実現は容易ではありません。IoTの脆弱性を排除する対策ソフトが配布されたとして、そうした対処をユーザが自主的に実施する可能性は低いでしょう。そこでIoT機器製造業者に責任を負わせ今後の「野良IoT」の発生を避ける、機器への認証やラベリング制度が議論されています。日本国内においても、IoTセキュリティガイドラインが公開され、対策の検討が始まっています※4

IoTが変えるパーソナルデータ

IoTは一方で、セキュリティ対策が守る対象となるデータを増やし、その形を変化させていきます。IoTは、個々人の行動情報や生体情報を収集する起点にもなります。

ウェアラブルデバイスで取得される心拍数、血圧、走行距離、スピード、位置情報、ナビゲーションシステムが収集する走行位置、速度、自動車の状態、防犯カメラの映像から自動判別され、切り出される顔写真、列車で移動する際の乗降駅・乗車時間・乗換時間に至るまで、IoTが生み出すデータは、ユーザが同意さえすればパーソナルデータに紐付けられ、より強力なパーソナライズを生み出す材料になります。

しかも今後はIoTが増大させるパーソナルデータに加えて、システムが生み出した個々人の属性情報がパーソナライズに活用されることは容易に想像出来ます。システムが生み出す情報とは、収集した膨大なデータを分析した結果から、ソフトウェアが推定した個々人の特性です。推定されたデータには、ネガティブなものもあるでしょう。

例えば、健康状態、健康寿命、将来の発病可能性といった推定データが作成されれば、特定の薬品の広告を提示するだけでなく、保険加入に関わる広告や、ローンの広告を抑制する、といったパーソナライズすら起こりうるでしょう。そうしたネガティブな推定データは、個人情報を提供した本人があずかり知らない間に生み出され、故に修正もできず、仮に誤った情報であっても、その結果不利益が生じても個人は対抗する手段はなければ問題となるでしょう。

セキュリティと情報の在り方

幅広く収集されるパーソナルデータ、生み出される推定データの扱いが問題となるとき、そのデータは誰のモノか、という議論は避けられなくなるでしょう。個人を表す情報であるにも関わらずその帰属は情報を収集し分析した企業などにある現状も問い直されるでしょう。各国で、情報収集にあたっての同意の義務化や、情報の第三者提供に関わる法制化が進んでいます。データ取引市場を整備し価値ある情報の提供には対価を支払う形で流通を促進するトライアルも始まっています。

一方では、匿名化技術を用いて、収集したパーソナルデータを個人の特定ができない形に加工したとし、本人の同意無しにマーケティングに活用できるとする企業も存在します。特に厳密なパーソナルデータ保護を目指すGDPR(EU一般データ保護規則)が2018年5月に施行される見通しとなり、各企業はこうした構想の具体化を急ぐべき段階に入っています。

「NTT DATA Technology Foresight」特設サイト

※1 5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か

http://itpro.nikkeibp.co.jp/atcl/news/16/092302766/

※2 The World's First All-Machine Hacking Tournament

http://archive.darpa.mil/cybergrandchallenge/

※3 US-CERT Heightened DDoS Threat Posed by Mirai and Other Botnets

https://www.us-cert.gov/ncas/alerts/TA16-288A

※4 経産省 IoTセキュリティガイドライン

http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html