ロゴ

幕開けしたIoT時代、ネット上のセキュリティは?

コンシューマ・インターネット以上に重要課題になるインダストリアル・インターネットのセキュリティ問題。
インダストリアル・インターネット上のセキュリティについて考えてみます 。

かつて、サン・マイクロシステムズの創設者CEO(最高経営責任者)、スコット・マクネリ氏が「インターネットにプライバシーはない。乗り越えるんだ!」と語ったように、インターネットを巡っては、セキュリティの問題を避けて通ることはできません。それは、インダストリアル・インターネットでも同じこと。むしろコンシューマ・インターネット以上に、セキュリティが重要課題となります。

米国にある戦略国際問題研究所のジェームズ・アンドリュー・ルイス氏は「しかし、そこにばかり目を奪われてしまうと、インダストリアル・インターネットの発展そのものが阻害されかねません」と指摘します。今回は、インダストリアル・インターネットとセキュリティの問題をどのように考えるべきか、同氏の意見を紹介します。

<以下、ジェームズ・アンドリュー・ルイス氏が寄稿>

急速に発展する「モノのインターネット化(IoT)」に対し、セキュリティという名目で過剰規制してしまうと、その勢いを削ぐことになりかねません。セキュリティ管理やプライバシー保護について、私たちは現実的に考える必要があります。

インターネットが一般に解放されて20年。急成長を遂げた一因には「規制しない」というクリントン政権の決断がありました。完璧なセキュリティの実現を待ってインターネット普及に時間をかけるより、リスクを伴ってもその経済的利益を享受すべき、とした決断はインターネット経済の発展に貢献しました。

当時はこれが正しい選択でした。ですが、IoTに関して言えば、誤った選択をしてしまう可能性も大いにあります。

残念ながらインターネットが安全でないのは現実です。たとえば、米国ではネット犯罪や諜報活動対策に毎年、何十億ドルもの予算を投じています。もっとセキュリティに注意を払うべきだという声もあります。米国は確かにインターネット上で何十億ドルもの損失を被っていますが、しかし、一方で何百億ドルもの追加的利益を得ているのもまた事実です。

同様のことはプライバシーにも当てはまります。失うものより得られるものの方が大きいのです。アメリカはプライバシーと引き替えに、インターネットサービスの爆発的普及を選択しました。一方、ヨーロッパはアメリカとは逆に、1970年代のプライバシーを維持して、1970年代のインターネット経済を取り入れたのです。しかしながら、どちらの道を選んでいても今日、私たちのプライバシーはほとんど確保されていないのが実情です。なぜなら、インターネットのビジネスモデルは、個人データを抽出し、さらに多くの個人データと照合して集計し、それを商業目的で利用することだからです。

プライバシー擁護派は、冷蔵庫や自動車のタイヤから得られたデータは、これまでウェブに適用していたルールより厳格に取り扱われるべきだと望んでいます。しかし、これが実現しても彼らが喜ぶだけで、実際にプライバシー保護の改善にはつながらないでしょう。それどころか、イノベーションや成長にも悪影響を及ぼしかねません。私たちはIoTを現実的にとらえる必要があります。そこで、以下の3つの測定基準を使って、リスク管理について考えてみましょう。

米戦略国際問題研究所 (CSIS) のジェームズ・アンドリュー・ルイス氏

ジェームズ・アンドリュー・ルイス氏(米国)
戦略国際問題研究所(CSIS) シニアフェロー兼戦略技術プログラム局長

【スケーラビリティ】
ハッカーの狙いは、悪戯の域を超える大きなインパクトを残すことです。そのためには、何百、何千というデバイスを同時にハッキングしたり、多くのデバイスを管理している「コマンド」デバイスを探し出して攻撃する必要があります。したがって、こうした主要デバイスについては、他のデバイス以上の、より高度な検査や注意を払う必要があります。

【機能の影響度】
人々の生活や安全に対するIoTの影響度を把握する必要があります。冷蔵庫やエアコンの電源が切れたところで、せいぜい「イライラする」程度ですが、乗り物のエンジンが止まってしまえば命に関わります。影響度の高いデバイスについては、より高度な検査やセキュリティが必要です。

【データの価値】
IoTの個人情報管理は、それぞれのデータの価値に見合ったものにすべきでしょう。デバイスは大量のデータを生み出しますが、その多くは総合的に見てほとんど価値のないものや、プライバシー上、大きなリスクがあると“思われている”だけ。個人情報が含まれるというだけで、IoTのデータが価値あるものになったり、機密上重要なものになるとは限りません。大部分のIoTデータそのものには厳格なプライバシー保護は必要ありません。

IoTでは、1つの規格にすべてのデータが当てはまるわけではないので、全デバイスに適用可能な、特定のプライバシールールやサイバーセキュリティ基準を定義しようと考えることは無意味です。今後、IoTがどのようなイノベーションを生み、どのように活用されるかは分かりません。それだけに、実験や思いがけない発見のための余地も残しておく必要があります。新たな技術は社会をより豊かにします。そして、技術的な変化こそが(米国の)唯一の成長源なのです。

IoTに対する適切な政策はイノベーションを後押ししますが、過度な締め付けは妨げとなります。事実に基づかない想定や仮説に依拠して政策を策定しまえば、なおさらです。IoTのデバイスのセキュリティやプライバシーに関しては万全を期して、市場原理と法廷の裁量に委ねるという選択肢もあります。
テクノロジーには必ずリスクが伴います。しかし、不安だからといってIoTを規制してしまえば、そこにあるチャンスをみすみす犠牲にすることになるでしょう。