5GとIoTに潜むセキュリティリスク　全てが“つながる”ことの危険

会社経営の傍ら、心理カウンセリング・コンサルタント講演・コンプライアンスに基づく講義なども行っています、りゅうこころです。ryukokoro

5GとIoT

今回はIoTとそれを支える5G通信の時代におけるセキュリティ上の脅威や対策について考えてみたいと思います。IoTへの攻撃は増えつつあります。情報通信研究機構（NICT）が2018年2月に公開したデータによれば、IoT機器をターゲットにした攻撃は54％に達し、全体の半数を超えたとのこと。

理由は2つ考えられます。

1つ目はIoTとしてインターネット接続される機器の台数がPCなどに比べて多いこと

2つ目はソフトウェア的なアップデートが行われず、購入後そのままの状態で放置されている傾向が強いこと

インターネット障害

NICTの例では、Webカメラやルーターなどが挙げられているが、比較的最近話題になった「Mirai」というマルウェアでは監視カメラやデジタルビデオレコーダー（DVR）で広範囲に感染し、米国で大規模インターネット障害を引き起こしたことが知られています。Miraiは「ボットネット（Botnet）」と呼ばれるマルウェアに感染した機器同士で構成されるネットワークを構築し、命令者の特定のコマンドで一斉に動き出す。主に米国郵便公社（USPS）や国防総省（DoD）をターゲットとしたDDoS攻撃を一斉に仕掛け、結果として都市部を中心とした大規模なインターネット障害を引き起こしました。

個々の機器は単機能でネットワーク帯域をそれほど消費しないとしても、数の暴力でネットワークをまひさせることは十分に可能。特にIoTと呼ばれる機器では同じ型番の製品が数万や数十万単位で存在し、それらが同じセキュリティホールを抱えたままインターネット上にさらされていることになります。1つの機器への攻撃方法が見つかれば、同様にインターネット上を総なめする形で同じ攻撃が可能なわけで、より大規模なものになりがちだ。やや古いデータではあるが、英Gartnerが2017年2月に出した予測では、2020年までに200億台のIoTデバイスがネットワーク接続されることになるという（数字には諸説あり、300億台とも）。

セキュリティ対策

いずれにせよ、PCで1桁億台、スマートフォンなどモバイル機器で2桁億台がインターネット接続されているとすると、少なくともIoTの世界は2020年時点でその上の3桁億台に到達しており、ネットワーク全体に与えるインパクトも相応に大きい。一度接続された機器が長らく放置されることを考えれば、セキュリティ対策は急務といえるでしょう。

こうした中で登場してきたのが、IoTセキュリティをサービスとしてしまうビジネス。現在はまだ家電や監視カメラなど比較的限定された製品での展開が多いIoT機器ですが、今後はさまざまな企業が独自の機器を開発し、おのおのの目的に沿ったアプリケーションを記述してデータを日々収集したり、遠隔で制御したりすることが増えてくるでしょう。ただ、これらは市販品と比べて展開される機器の数も少なく、開発にかけるリソースの比重の問題からセキュリティ対策が必ずしも万全ではない可能性があり、被害の拡散が少ない反面、攻撃に対するリスクは高いといえます。

稼働するアプリケーションも日々のデータの収集だけでなく、重要なインフラ制御にまつわるものだった場合、インターネット上の障害だけでなく社会的な混乱や大きな被害をもたらす結果になるかもしれません。IoTのセキュリティ対策を盛り込んだソリューションは、大手ITベンダーも提供し始めています。米Microsoftが2018年春に発表した「Azure Sphere」は、IoT機器制御用のチップとOS、セキュリティ対策を含むクラウドとの連携を助けるサービスまでを含めた「三位一体」のソリューション。同種のサービスには米Amazon.comの「FreeRTOS」のようなものもありますが、IoTはクラウド連携が重要である一方で、ここがセキュリティホールとなる可能性が高いことも示しています。

例えば、IoT機器はリモートでの初期化やアップデートのために、いわゆるOTA（Over The Air）的な仕組みが組み込まれていることが多いが、この仕組みを悪用することで機器の乗っ取りを成功させるケースがあります。今後IoTで「eSIM」のような組み込み型SIMに契約情報を書き込んで携帯キャリアのネットワーク経由でインターネット接続を実現する場合、これを利用した攻撃手法の議論も行われています。

もし、こうしたセキュリティ対策を全て信頼できるベンダーに丸投げし、自身は業務に必要なアプリケーション記述のみに注力できれば、効率がよく、サービスを提供するベンダーにとってもユーザー企業にとってもWin-Winの関係となるのではないでしょうか。

5Gの展開

5Gの展開は、2020年以降に本格化する。3G以前との大きな違いはベースネットワークとして4G LTEを引き続き活用していく点で、5Gはこれに対してSub-6やミリ波といったより高い周波数帯域の無線ネットワークを重ね、帯域を増やすことを前提としています。そのため、米Verizon Wirelessなど3Gの早期停波を表明している携帯キャリアであっても、当面はLTEが併存し、面展開にはLTEを、都市部など通信需要が逼迫（ひっぱく）するエリアには重点的に高周波数帯域でのネットワークを重ねて帯域を増やす予定です。

5Gでの進化は、下り最大20Gbps以上、上り最大10Gbps以上というデータ通信の高速化、大容量化だけにとどまりません。IoTの普及を想定した「多接続」という特徴もあります。1平方キロメートル当たり100万台の端末を同時接続できる（LTE-Advancedは1平方キロメートル当たり約6万台）ため、近い将来、膨大な数のIoTデバイスが利用されるようになっても、通信パフォーマンスへの影響は出にくくなるわけです。「レイテンシ（通信の遅延時間）」も重要で、エンド・ツー・エンドの通信でLTEは数十ミリ秒程度だったものが、5G世代では数ミリ秒以下、場合によっては1ミリ秒（0.001秒）以下というパフォーマンスを実現します。

何が変わる？

5Gの世界で何が変わるかといえば、ネットワークに乗ってくるアプリケーションの種類が一気に増える。従来はWebカメラのような監視システムやセンサーのモニタリング、一部機器の遠隔制御程度で利用されていたものが、社会インフラの多くを5Gで置き換えることが可能になります。帯域が増えてカバーエリアが充実すれば、街中のサイネージの変更から信号制御まで、これまで有線やオフラインで行っていた仕組みを無線ネットワークで置き換えられる。有線の工事やメンテナンス費用も低減できるため、制御機器の多くに加えて、これまでラストワンマイルと呼ばれていた基幹通信網から各家庭やオフィスへのネットワーク配線を5Gで置き換えることができるでしょう。

レイテンシの低減による高速レスポンス化は、さらに新しい可能性をもたらす。自動運転における制御や、工作機器などの遠隔操作、遠隔での手術や医療行為を可能にするなど、公共施設や人員の移動に関する制限を取り払うと言われています。特に、物流に革命をもたらすといわれている自動運転トラックの世界は、欧米で激しい競争が進んでおり、2020年までには数千台のトラックが路上を駆け巡ることになるという予測もあるほどです。これらは全て物流や人員配置に関わるコストを下げることにつながり、より良質なサービスを低コストで提供することが可能になるだろう。Industry 4.0と呼ばれる工場の自動化や品質管理まで、5Gが工場内部のネットワークへと進出することでより現実的なものとなります。

一方で、それまで閉じた世界だった産業機器やインフラが無線ネットワーク接続されることで、ハッキングの脅威に直面する機会も増大することになります。

自動運転

5Gの時代に注目されている分野に自動運転があります。現在、自動運転の開発競争が過熱しているが、自動車向けのサイバーセキュリティソリューションを提供するイスラエルのKaramba Securityの予測で、「自動運転車は月間当たり30万件のハッキングに直面している」とAP通信が報じています。自動運転車のハッキングが成功すれば、方向転換から速度調整まで自在に制御が可能になるという。ハッキングが金銭的な被害はもちろん、搭乗者の生命に危険を及ぼすことも考えられる。実際、実験レベルでは何度かハッキング事例が報告されており、2020年以降の5G時代における新たな脅威になるでしょう。

自動運転車と同様に、各種制御器、建物のインフラや交通管制システムなど、ネットワーク接続されることでリモート制御可能になるインフラは5G時代に飛躍的に増え、IoT化であらゆるものが“つながる”世界では、現在より被害が深刻化する可能性があります。2018年秋に米カリフォルニア州で世界初となるIoTセキュリティ法案が成立して話題となったが、これらサイバー犯罪で発生した被害の責任の所在がどこにあるのか、メーカーか、あるいはそれを利用してサービスを提供する事業者や団体なのか、明確化する仕組みが求められる。この辺り、「AI」などの機械制御の仕組みは責任の所在がどこにあるのかも含め、新しい時代にステップアップするための通過点となりそうです。

5Ｇの安全性

従来と比べて5G時代には適用分野が一気に広がることもあり、関連企業がアピールする内容は、技術的に可能になることや、自動運転において実際にシステムに組み込んだ際の利便性、安全性など明るい未来で、ハッキングのリスクに触れられる機会はどちらかといえば少ないでしょう。しかし、IoTと5Gがインフラへ浸透するほどセキュリティリスクは顕在化するわけで、便利になる反面、危険性をそれだけ内包していることも意識しておく必要があるのです。組み込み機器における開発は、どちらかといえばローレベルでのプログラミング作業が求められ、ともすれば職人芸的な要素も含んでいた世界ではあったが、これがネットワーク接続前提となると求められる要件も変わってきます。

定期的なメンテナンスと稼働状況の分析、そしてOTAによるアップデートと、ソフトウェア開発のライフサイクルもIoTでは異なる運用が求められ、5G時代の到来とそれに伴うセキュリティ対策の重要性は、開発スタイルや意識変革のきっかけにもなるでしょう。

高速大容量・超低遅延・多数接続の時代がもうそこまで来ている中、これに対応してくるハッカーや情報漏洩などにも5Ｇのスピードで対応しなければならないという事です。非常に便利になると言われている傍ら、非常にリスクも高くなることを我々はしっかりと認識しておかねばなりません。

りゅうこころでした。ryukokoro

高い講演料を払って聞きに行かなくてもあなたの知りたい事はここにある！心理学士で経営者が語る30年分の知識と経験を文章にしてあります。もしあなたが知りたい事があったらコメントください。その案件について私が出来る限り解説します。さあ、私の40年分の知識と経験を開いて御覧なさい！きっとあなたにもいろいろなものが見えてくるはずです。

りゅうこころのブログ