過去数年にも渡って、エフセキュアのMikko Hypponen(ミッコ・ヒッポネン)(英語)をはじめとして、大勢のサイバーセキュリティ専門家が世界中の政府に訴えた結果、IoT(モノのインターネット)デバイスに対する規制が制定されました。
しかしながら、この「セキュリティの悪夢(英語)」を解消するには、オンライン接続に関わるすべての人が、インターネットに接続された機器のセキュリティとプライバシーの基準の再定義を強く求める必要があります。
ついにIoT規制が制定か?
英国での法案(英語)が通過すれば、IoTデバイスの安全性担保を機器の製造メーカーに要求できる最初の国になるかもしれません。英国のデジタル担当大臣であるMargot James(マーゴット・ジェームズ)氏によると、この法案制定は英国を「オンラインセーフティの世界的リーダー」にすると述べています。
しかし、現状では英国は米国のカリフォルニア州に後れを取っています(英語)。カリフォルニア州では、2018年後半にIoTセキュリティ法が可決され、2020年1月に施行される予定です。その法律では、インターネット接続型機器の製造メーカーは、「機器とそこに保存された情報を不正アクセス、破壊、使用、変更、および開示から保護」する「相応な」セキュリティ機能の搭載を定められています。
同様の法律の制定が合衆国議会(英語)で行き詰っているように思われるため、米国オレゴン州(英語)では「相応な」IoTセキュリティに対するカリフォルニア州の規制を反映した法案の成立を目指しています。
しかし、政府がこの時期になって基本的なセキュリティ対策の実施を要求しなければならないという事実は、インターネットに接続されたデバイスの数が世界の人口の2倍に近づいている現在、状況がどれほど深刻なのか、そして政府、製造メーカー、インターネットサービスプロバイダーによって実施される作業が多く残されていることを暗示しています。
スマート = 脆弱
「何かが“スマート”だと説明されている時、それは“脆弱だ”と言っているのと同じということです」とMikkoは2016年12月に「ヒッポネンの法則」をツイート(英語)しています。
彼は、2017年4月に「ヒッポネンの法則」を拡大し、「(脆弱な)モノのインターネット:ヒッポネンの法則、セキュリティエンジニアリング、そしてIoT法」(英語)というタイトルの文書を、ヘルシンキのハンケン経済大学のLinus Nyman(ライナス・ナイマン)氏との共著で発表しました。
この論文には、IoTデバイスの製造メーカーへの推奨事項が含まれていますが、一方で、法律が「インターネットとその接続デバイスをセキュリティで保護する唯一の信頼できる手段」になるだろうと示唆しています。MikkoとLinus氏は、政府の規制の限界を認識しつつも、安全でない機器が数百万におよぶ家庭に押し寄せてきている事態を緩和するために、「すべてのIoT機器の製造メーカーにセキュリティエンジニアリングへの投資を強いることで、競争環境を平準化する」ステップが必要だと主張しています。
また、2018年1月エフセキュアがスポンサーとなったサイバーセキュリティ研究所のレポート「IoTの解明(英語)」では、IoTセキュリティの悲劇的な状況を赤裸々に解説しています。「現在のモノのインターネット(IoT)の形態は、セキュリティと使用に関する不適切な規制により、消費者にとって大きな脅威となっています。」
その同じ年の後半に、InterpolとFBIの両者がこの懸念に汲み取り(英語)、ノートPCや携帯電話を保護するのと同じ方法でIoTデバイスを保護のする時が来たことを消費者に警告しています。
規制は必要だが最初のステップにすぎない
なぜインターネットに接続された機器のセキュリティが最悪な状況になるのかを理解するためには、カリフォルニア州の法律と英国の法案が両方共「デフォルト」パスワードを禁止する条項を含んでいることに注目してください。
エフセキュアによる最新のIoTの脅威ランドスケープレポート(英語)で指摘されているように、多くのIoTの脅威は、感染に対してデフォルトパスワードと脆弱なパスワードに付け込んでいます。これには、歴史上最大のサービス拒否攻撃のひとつとされるMiraiボットネットの亜種が含まれています。
「これは必要なステップです。IoT攻撃の3分の1が脆弱なパスワードを悪用しています」と、エフセキュアのTom Gaffney(トム・ガフニー)は述べています(英語)。
脆弱なパスワードの使用は、IoTデバイスに限ったものではありません。最近の調査によると、「123456」が依然として世界で最も使われているパスワードです(英語)。しかし、接続されている多数のWebカメラ、ルータ、その他のIoTデバイスは、しばしば公開されているTelnetポートを介して、簡単にアクセスされることがよくあります。また、デバイスの設計が悪いために、ユーザーがパスワードを変更したくても簡単にはできないことが良くあることも事実です。
「相応な」では不十分
パスワードの保護は、IoTセキュリティのさわりにすぎません。高度な脅威は、あらゆるハードウェアまたはソフトウェアの開発において避けられない脆弱性につけ込みます。これに対抗するには厳しい規制が必要です。
サイバーセキュリティ専門家であるBruce Schneier(ブルース・シュナイアー)氏は、カリフォルニア州の法律が曖昧であることが、セキュリティが不十分なデバイスを意図的に製造していることを公言してはばからない製造メーカーを助けることになる危険性を指摘しています。
「あまり良いニュースではありませんが、コンプライアンスを回避しようとする企業は、『相応な』セキュリティ」という表現によって、この法律は強制していないと主張できるという点です。」と彼は記事で述べています。
繰り返しますが、消費者は製造メーカーがセキュリティよりも利益を優先するという気まぐれに委ねられるかもしれません。そして苦しんでいるのは消費者だけではありません。
接続されているすべてのもの = 保護されているすべてのもの
残念ながら、インターネットサービスプロバイダーは、IoT攻撃のために誤動作したり、機能が低下したデバイスが原因で発生する多くのトラブルを抱えている可能性があります。
しかし、この危機はビジネスにとって好機でもあります。
基本的に消費者は、インターネットサービスプロバイダーに信頼を置いています(英語)。このため、プロバイダーはこの市場をリードする重要な位置に立ち、どこにいても安全でプライベートな接続を利用者に提供することができます。
米国の18州で100万人以上の世帯にブロードバンドプロバイダーのWindstreamでコンシューマプロダクトマネジメントのディレクターを務めるBrian Ragsdale(ブライアン・ラグスデール)氏は、家庭内でのWi-Fi接続が遅くなる問題に対処するよう求められていると述べています。
「当社で対応できない要因がいくつかあります。たとえば、Wi-Fiルータを電子レンジの上に設置した場合や、時代遅れの機器を使用している場合などです。」
しかし、プロバイダーはセキュリティを制御することができるので、適切なセキュリティとプライバシーのパートナーを選択することで状況は全く変わります。
エフセキュアにとって、データを保護することは、消費者自身のデバイスやネットワークを保護することだけではありません。それは、消費者の生活をより安全で快適にするための信頼と責任を意味しています。
Windstreamは、エフセキュアおよび米国のActiontec社と協力して、安全なルータと顧客に提供するアプリケーションを通じて、全てのデバイスに十分な安全と、保護者による制限機能を提供します。
「お客様はシンプルなカスタマーエクスペリエンスを求めています。」と彼は述べています。
消費者の信頼の獲得競争
消費者は、家庭のWi-Fiネットワークにデバイスを次々と接続するやり方を知っています。しかし、セキュリティが簡単に設定できない限り、10台中9台ものホームルータが脆弱な状態にある現状では、不十分な保護に悩まされることになります。
2017年に、MikkoとLinus氏はすべてのIoT製造メーカーに対して、自らを「ソフトウェア会社」であると考えるように進言しました。しかし、明らかにそのアドバイスは無視されており、そのしわ寄せが私たちに来ています。そして被害額は増え続けます。
「2025年までに、多くの人々が1日あたり約5,000のデジタルインタラクションを(知ってか知らずか)するようになるでしょう。」とOliver Wyman(オリバー・ワイマン)氏は述べています(英語)。
政府はやっと製造メーカーへの規制を強めています。しかし、とても十分とは言えず、遅すぎるでしょう。
とは言え、家庭の内外を問わず、すべてのIoTデバイスを対象にした基本的なセキュリティおよびプライバシー基準を積極的に提供することで、消費者の信頼を勝ち取る大きなチャンスがまだあるのです。
まさに好機です。サービスプロバイダーやその他のエコシステムのプレイヤーは、消費者のプライバシーを優先する定評のあるセキュリティ専門家と提携することができます。共に協力することで、家庭内でも外出先でも、信頼性の高い、ユーザ中心のパーソナライズされたサービスとエクスペリエンスを消費者に提供できます。
それは単に消費者に対する「相応な」セキュリティではなく、「卓越した」セキュリティとプライバシーであり、家族は将来への投資としてみなしてくれることでしょう。
カテゴリ