「つながる社会」の安全・安心のために
──小型IoT機器を守る画期的なセキュリティ技術

　現在のIoT社会のセキュリティの大きな弱点の一つが、個々のIoT機器である。小型のIoT機器はメモリ容量やCPU性能に限界があるために、従来型のセキュリティソフトを搭載することが困難だからだ。IoT機器がネットワークへのウイルス侵入口となり、プログラムが改ざんされて人々の生活に大きな被害が及んだりするリスクを防ぐにはどうすればいいのか──。その課題を解決する技術が実用化されようとしている。

「つながる社会」が抱える大きなリスク

　IoTによってあらゆるものが結びつく「つながる社会」が急速に発展している。センサー活用によって生産効率を向上させるスマートファクトリー、走行中にインターネットのさまざまなサービスを利用できるコネクテッドカー、交通、防災・防犯、エネルギー活用などにIoTを活用して住民の安全・安心を実現し、利便性を高めるスマートシティ──。IoTは文字通り、社会を支えるキーテクノロジーになろうとしている。

　しかし、あらゆるものが「つながる」ということは、社会全体がサイバー攻撃のリスクにさらされることを意味する。

　「これまで企業や自治体などでは、サーバやゲートウェイにウイルス侵入を防ぐ仕組みを施し、サイバー攻撃の被害を防いできました。しかし、IoT機器が増えていくと、それぞれの機器に対する直接攻撃が盛んになることが予想されます」

　そう話すのは、NECセキュリティ研究所の主任研究員、佐々木 貴之だ。

　「PCレベルのCPUやメモリ容量をもったデバイスであれば、従来型のセキュリティソフトを活用することもできます。しかし、IoT機器の多くは小型で、メモリ容量も小さいため、ソフトをインストールして稼働させることが非常に難しいのです」

　サイバー攻撃者は、ネットワークの最も弱い部分を狙ってくる。IoT社会におけるその「最も弱い部分」に当たるのが、個々のIoT機器ということだ。車や病院のIoT機器が狙われ、仮にプログラムが改ざんされるなどすれば、その被害は場合によっては人命に及ぶ危険性もある。また、工場のIoT機器が攻撃されることで、生産者が気づかないうちに不良品が大量生産されてしまうケースも想定される。

　「IoTの活用が広がれば広がるほど、サイバー攻撃による被害の規模も深刻になっていくと考えるべきです」

IoT社会の末端を守る画期的技術

　佐々木らのチームはおよそ2年をかけ、そのような「つながる社会」が抱えるリスクを防ぐ独自のセキュリティ技術を開発した。個々のIoT機器に搭載することで、直接的なサイバー攻撃から機器を守る画期的な技術である。その特徴は「軽量性」と「高速性」にある。佐々木は説明する。

　「一般的なセキュリティソフトには数十MBから数百MBのメモリを必要としますが、このセキュリティの仕組みを稼働させるのに必要なメモリ容量は4KB程度です。したがって、非常に小さなデバイスにも導入することが可能です。また、検査するプログラム領域を限定することで、スピーディな改ざん検知を実現しています」

　軽量化を実現したのは、IoT機器の「ふるまい」、つまり異常動作などを監視するのではなく、実行コードのみをシンプルに監視するという技術である。一方、高速化を実現したのは、プログラムを機能ごとに分割し、必要な機能だけをスキャンする技術だ。

　例えば、工場で稼働中のIoT機器のセキュリティチェックをする場合、検査に時間がかかってしまうと、機器の動作に遅延が発生することになる。私たちの日常において、作業中のPCでセキュリティソフトが起動するととたんにPCのスピードが遅くなるのと同じ現象である。その結果、工場の生産ラインの稼働率が落ち、生産性に大きな影響が発生することも考えられる。

　軽量性を実現させることで、これまでは難しかった極小の機器への搭載を可能にし、高速性を備えることで、機器の動作遅延を防ぐ。そこにこの技術の新しさがある。

　「これまでの技術では守れなかった機器を守ることが可能になり、結果としてセキュリティ対策の守備範囲が一気に拡大する。それがこの技術がIoT社会にもたらす大きな価値であると考えています」

社会に求められている技術は何か

　この技術開発を担ったのは、佐々木を中心とする3人の研究者チームだった。

　「開発の最初のフェーズで、IoT機器メーカーのご担当者や、社内のスマートシティの担当者の意見をヒアリングし、今最も必要とされているセキュリティ技術は何かを徹底的に検討しました。その結果、”IoT機器に搭載可能な軽量かつ高速な仕組み”という目標が見えてきたのです」

　重視したのは、技術シーズの追求と社会のニーズの探求とを同時に進めることだった。

　「以前は、シーズから製品やソリューションをつくっていくことが研究者や技術者には求められていました。しかし現在は、社会やお客さまとともに新しいものをつくっていくという視点がなければ、本当に価値あるものを生み出すことはできません。IoT社会に求められるものは何で、それを実現できる技術は何かを考えること。つまりニーズとシーズをすり合わせること。そこからこのセキュリティ技術は生まれています」

　開発がある程度まで進んだ段階で、佐々木らのチームは社内の事業部にプレゼンテーションをし、工場や機器メーカーなどを回って、これが本当に必要な技術なのかどうかをあらためて確認したという。現在は、IoT機器メーカーとともに実証実験を行い、技術の精度を高めていく段階にある。機器に組み込む形でのリリースが実現するまでそれほど時間はかからないだろうと佐々木は言う。

「光」の価値を高めるために「闇」に対抗する

　IoTの活用によって働き方を改革する。家電にIoTを搭載して生活の利便性を高める。あるいは、医療現場のさまざまな機器をIoTでつなぐ──。人々の仕事や日常生活の身近な場所でIoT機器が活躍する場面が今後いっそう増えていくと見られている。そこで実現する利便性、快適性、安全・安心がIoT社会の「光」の部分だとすれば、それに伴うセキュリティリスクは「闇」の部分である。「光」の価値を高めるために、テクノロジーの力をもって「闇」に対抗していくこと。それが自分たちの役割であると佐々木は話す。

　「私たちには、二つの進化に対応することが求められています。一つがIoTなどの技術の進化、もう一つがサイバー攻撃の手口の進化です。最新の技術を取り入れながら、日々巧みさを増していく攻撃に対抗するためには、さまざまなプレーヤー間の協業がますます重要になっていきます。それぞれの強みを持ち寄って、攻撃者に協力して立ち向かう体制をつくっていかなければなりません」

　企業内の一研究部門にできることは限られている。自分たちの仕事は、デバイスのセキュリティをしっかり守る技術を確立していくことである。その技術を、多様なセキュリティソリューションとつないでいくことで、社会全体を守ることが可能になる。そのうえで、できることなら、世の中にセキュリティに関する意識をもっと広めていきたい。確かなセキュリティは技術によってのみ実現するものではないからだ。IoTを守る技術と、IoT社会の「光」を享受する人々の意識や行動。それらが結び合って初めて「闇」を撃退することができる──。そう佐々木は語る。

　さまざまな企業や人々とともにIoT社会の安全・安心を守るための活動が、これからも続いていく。