「すべてのモノがインターネットにつながる」そんな時代が本当に訪れようとしています。Internet of Things（以下IoT）は、自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器から、工場やプラントなどの設備まで、これまでインターネットとは無縁だと思われていた機器や設備が、インターネットに接続される社会のことをいいます。

総務省の調査では、2011年では104億個だったIoTデバイスが、2020年では約5倍の530億個に増加すると予測されています。2000年代前半に構想された「身の回りのもの全てがコンピュータやネットワークにつながる」という「ユビキタスネットワーク社会」がIoTの普及によって、いよいよ現実のものになろうとしているのです。

IoT製品に迫るサイバー攻撃

ネットワークに接続されたIoT製品は、外部からのサイバー攻撃の対象になるリスクを保有しています。PwCグローバル情報セキュリティ調査では、IoT製品や情報システムをターゲットにしたサイバー攻撃に被害にあったと回答した企業は、2014年からわずか1年後の2015年には激増しています。このようにIoTの普及にともない今後もIoTを標的としたサイバー攻撃は増加していくものと予想されます。

【参考】

グローバル情報セキュリティ調査2016：サイバーセキュリティの転換と変革

https://www.pwc.com/jp/ja/knowledge/thoughtleadership/information-security-survey2016.html

コネクテッド製品開発に必要な新しいビジネスモデル

自動車・医療設備・防衛設備などがIoTによりネットワークに接続された場合、一度のサイバー攻撃の被害によって人命の生死や、大規模な災害をもたらす危険性があります。機器メーカーは情報システムのみならず、製品や設備など、事業全体に対して高いセキュリティ意識が必要とされます。

工業製品を製造していたメーカーは、これまで製品の製造と品質を保証することだけが求められていました。しかし今後、IoT機器を製造するメーカーは、製品の開発・試験・運用などのプロセスや、製品のライフサイクル、そして顧客とのコミュニケーション、さらに社外の技術者コミュニティとのかかわり方など、あらゆるものを変革していく姿勢が必要とされます。製品の設計から出荷後の運用に至るまで、製品のライフスタイルに全体を通して、新しいビジネスモデルの構築が求められているのです。

IoT機器におけるサイバーセキュリティ

コネクテッド製品における脆弱性対策では「研究開発」「製造」「市場利用」「廃棄」のような製品ライフサイクル全体に向けたセキュリティプロセスを考慮する必要があります。製品のライフサイクルにおける各フェーズの複数の事業部門だけでなく、社外のサプライヤーを含めた体制構築が求められます。

セキュアな製品開発・維持には開発や運用に携わる多くのステークホルダを巻き込み、セキュアなプロセスの構築と長期的な対応が必要不可欠です。

コネクテッドカーへのセキュリティ対策

IoTの普及により自動車はインターネットや周辺環境と密に接続されるようになり、単純な移動手段から付加価値の高いサービスへと変わろうとしています。

自動車に対するサイバー攻撃はこれまでのIT製品に対するものとは異なり、プライバシーの侵害のみならず、ブレーキやステアリングなどの自動車の制御機能への侵入も考えられ、利用者の安全性を大きく脅かす事態も起こりえます。従来のIT製品では考えられなかったようなセキュリティリスクがIoTの普及により顕在化してきているのです。

このような脅威の増大を受け、自動車におけるサイバーセキュリティ対策に関する国際規格の整備が進んでいます。政府と民間企業が協力することで、利用者にとって安全で快適な社会の実現に向けた取り組みが進みつつあります。

自動車の安全性は、全社規模のプログラムによって支える必要があります。たった一つの領域における弱点が、それが他の領域に広がる可能性があります。そしてそれは、車両の故障や工場の停滞、顧客データのハッキングや知財の窃取にもつながります。

このようなセキュリティリスクに対して自動車メーカーは、事後対応的なセキュリティ対策ではなく、攻撃を防ぎ、あるいは抑制するための複数のセキュリティ管理策と、予防、検知、対応のための確立された手順を組み合わせた階層的なアプローチを必要とされます。

PwCで提供しているサイバーセキュリティ対策

PwCでは企業におけるサイバーリスク対策として、製品セキュリティポリシー構築・ガバナンス体制整備を含めた全体基盤を元に、「開発のセキュリティ」「製造のセキュリティ」「市場運用のセキュリティ」と各フェーズだけでなく、それらを横断するようにサプライチェーンマネジメントにおいてもセキュリティ対策を取り入れています。

業種や業界といった製品特性を踏まえて、最適な製品セキュリティインシデント対応体制を整え、ビジネス上の脅威に備えるための製品サイバーセキュリティ対策の支援を行っています。

PwCでは製品のセキュリティ品質確保を目的とした、開発プロセス全体の継続的なセキュリティ活動を行っています。製品に対して開発者視点、攻撃者視点を使い分けることで、対象の製品に最適なセキュリティ活動を構築します。また、製品の設計から出荷後までを対象に、インシデント発生時に対応するPSIRT体制の構築を支援しています。

PSIRTとは従来のCSIRTとは異なり、多様なステークホルダとの連携や、インシデント発生時に必要とされる製品機能の開発を行っているチームです。PSIRTを効果的に展開するためには、製品に関わる各企業による、最適な構築と運用基盤をベースとした効率的な脆弱性・インシデント管理プロセスの整備と運用が不可欠です。PwCではPSIRTの構築支援を「方針策定」「プロセス検討・整備」「文書化」「教育・訓練」の4つのアプローチから行っています。

またPwCではセキュリティ品質を維持するための必要なプロセスの構築から運用までを支援しています。製品の設計・開発から廃棄に至るまでの製品ライフサイクルの各フェーズにおいてセキュリティが考慮されたプロセスを構築し、サイバーセキュリティ対策が確実に実施されるために既存のプロセスを見直します。

IoT製品の脆弱性は市場に流通してしまった後に発見されると多大な損失をもたらします。そのため製品の出荷前にセキュリティ面の検証を十分に行い、脆弱性の早期発見ができるかどうかが重要となります。PwCでは攻撃者視点での検証を重視し、あらゆる観点で脆弱性をあぶりだすハードウェアハッキングを取り組み、強固なセキュリティ対策を実行しています。

コネクテッド製品の安全性の確保が必要

セキュリティ上の脆弱性がない製品を開発し、お客様に安心して使ってもらえることは、すべてのIoT製品を開発する企業にとって取り組むべき課題の一つです。企業にとって製品セキュリティ管理体制の構築や、リスクの管理、そして脅威情報の共有など、業界全体でのセキュリティ運用の促進が、これからも重要なテーマとなってくるでしょう。

（Photo by Denys Nevozhai on Unsplash）