IoTデバイスがハッキングされやすい簡単な理由
メリッサ・マイケル
2016年3月4日
IoT(モノのインターネット)デバイスのセキュリティの問題は、本ブログの共通テーマとなっている。
スマートな「モノ」は、クールで斬新ではある一方で、セキュリティやプライバシーの面で不十分さを露呈させてしまうことがよくある。これまで本ブログでは、スマートなベビーモニター、スマートなケトル、スマートな自動車、そしてバービー人形「Hello Barbie」の落し穴について取り上げてきた。
なぜ、このようなネット接続されるモノは、セキュリティに関して大きな問題を引き起こすことになるのだろうか。
この点について別の視点、たとえばIoTデバイスのメーカーの視点から見てみよう。
あなたは30年にわたってクッキー瓶を作ってきた会社のオーナーだとしよう。
あなたの会社が作るクッキー瓶は、かわいくて高級感があって独創的で、どんなキッチンに置いてもフィットすると評判だ。あなたはクッキー瓶については何でも知っている。どんな素材が一番よいか、どんなデザインが一番人気なのか、どのくらいのサイズがよいか、焼きたてのクッキーをしまうのにどんなふたがよいか、など。あなたはクッキー瓶製造の権威である。
そして、IoTの波に乗るべく、スマートクッキー瓶の開発に乗り出すこととなった。世界初のスマートクッキー瓶となるはずだ。
このクッキー瓶は、子供がおやつをたくさん食べてしまって夕食が食べられないという昔からの問題に終止符を打つものだ。この瓶はスマートフォンのアプリに接続する。そのアプリは、誰かがクッキー瓶を開けようとすると知らせてくれる。また、そのアプリから遠隔操作でクッキー瓶のロックを開け閉めすることも可能だ。
そのため、ママの留守中でも、チョコレートクッキーを子供の手に届かないようにしておくことができる。
あなたは30年もの間、クッキー瓶を作ってきた専門家である。けれども、スマートクッキー瓶となると話は別だ。なぜならソフトウェア技術の専門家でないからだ。それどころか、ソフトウェア技術についてほとんど何も知らない。
新製品にワクワクして、どんな新機能を組み込もうか考える毎日である。クッキー瓶で直接パスワードを設定できる機能や、クッキーが何枚減ったか知らせるセンサー機能もある。一日も早く製品を市場に出したい。そうこうしているうちに、シリコンバレーのスタートアップ企業が似たような製品を開発していると耳にする。これは先を越されたくない。
興奮のあまり、セキュリティのことは忘れられてしまう。いや、忘れてしまうというよりも、元々セキュリティが念頭にあったわけではない。やはり、あなたはクッキー瓶メーカーなのだ。
そして、セキュリティ技術を持ったベンダーに協力を求めることになる。目的は、スマートクッキー瓶を、なるべく早く、なるべく安く市場に出すことにある。これらのどのベンダーもセキュリティについて力説はしない。とどのつまり、最終製品に彼らのブランド名が付くことはない。あなたの会社のブランド名がつくのだ。
製品に使用されているソフトウェアが5年前のものだということを理解していない。脆弱性が見つかって修正が必要になった場合にどういうことが起こるか考えたこともない。そもそも修正することは可能なのか。可能だとしたら、クッキー瓶の購入者にどうやって知らせるのか。
けれども、こうした事柄は心に思い浮かばない。大事なのは、スマートクッキー瓶として機能し、クールであり、世間を驚かすことなのだ。
そうこうしているうちに、ついに、スマートクッキー瓶は完成し、世に送り出される。確かに、スマートクッキー瓶として機能し、クールであり、世間を驚かすことになった。
ところが、まずいことが起こる。ホームWi-Fiネットワークにパスワードが漏れてしまったのだ。
何ら驚くことではない。
やはり、あなたはクッキー瓶メーカーなのだ。*
セキュリティというものは、ソフトウェア業界自身にとってもきちんと取り組むのが困難である。ソフトウェアやセキュリティにまったく不慣れな企業にとっては、その困難さはいかほどのものになるだろうか。
セキュリティ専門家のRuna Sandvik氏が述べているように、「製品に以前はなかった技術を加えると、以前は考えたこともなかったセキュリティの問題が生まれる」のだ。
*クッキー瓶のメーカーを悪く言うつもりはまったくない。私自身、クッキーはどれも大好きだし、クッキー瓶のおかげでクッキーをしまっておける。クッキーをしまうのは、いつでもクッキー瓶だが、自分のデータについてはもっと注意深くありたいと思う。
バナー画像提供、Personal Creations(flickr.com)。一部改変。
カテゴリ