通信の高速化やデータ量の技術発達は10年毎に飛躍的に拡大しています。1980年代のアナログの音声を中心とした第一世代から第四世代の現在まで、最大通信速度は30年間で10,000倍も早くなりました。今朝の日経新聞にもようやく掲載がありましたが、そのような背景を踏まえてサイバーセキュリティーとIOT技術について少し書いてみます。

インシデント脅威は、ハッカーなどのハッキング行為でイメージできるかもしれませんが、その背景はかなり深刻に悪い方向に変化してきいます。最初は、愉快犯みないな自身の技術を見せびらかすことを目的としたものが多かったのですが、その後は情報を盗みお金に変えることや、仮想通貨などの世界共通の資産を盗む行為、更には産業用制御機器に進入し、テロ行為につながる大規模な災害や政治的要求を突きつけるような目的も増えてきました。ここまで深刻化したことの一因に挙げられるのは、現在のIT技術の進化が「クラウド化」によるネットワークでの接続やコントロールが主となってきているからです。つまり、遠隔でコントロールできることが、時間や場所を超えて世界中のハッカーが世界中の資産を同時に狙うことができるという利便性が、仮想空間ではすでに実現できているからです。その防御を考えてみれば、手元端末である従来のPC機器では、機器の演算処理能力が高いので(またアップデートや買い替えもあるので)ハッキングに対する防御であるアンチウィルスソフトやファイヤーウォールの設定によってハッキングを防ぐことができました。また、実際には画面を確認することで、不具合を直ぐに認識できる人的管理が容易な点もあります。よって、たとえネットワークに接続されても防御する機能は相応にあることが特徴です。

一方のIOT機器(センサーや家電など)は、まずPC並みの演算処理能力を持っていません。当然設置してから、もしくは買ってからソフトのアップデートもしませんし、機器のライフサイクルもPCに比べてはるかに長い10年以上にわたって使われることが多いです。これは、ハッキング行為に対して脆弱性を有したままネットワークにつながり続けることを意味しており、ネットワーク化やリモートコントロールでサービスを受けるIOT革命が進むと、すれば膨大なインシデントが発生する可能性を持っています。だから政府がその防御を義務化するのは最ものことなのです。

では守るべきものは何かと言えば、①情報、②情報システム、③情報通信ネットワークになります。これを基本にサイバーセキュリティー基本法が定められています。企業にもいても、「サイバーセキュリティー経営ガイドライン」というものが定められおり、その3大原則を認識し、重要10項目をCISO(情報担当役員)に指示して防御に努めます。管理体制の構築、リスクの特定と対応(低減・回避・移転)の実装、インシデント発生に備えた体制構築、サプライチェーン全体の対策掌握などです。これらの点については、少なくとも専門的なところは業者の技術者を使うことで対応できますが、社長自らが監督・監査しなければなりません。突き詰めると会社のサプライヤーやベンダーとの取引に対して何をどこまで求めるのかが、社長の仕事となります。国会で本件については有名な答弁をした国会議員がおられましたが、冗談なしにネットワークにつながれていない機器はリスクはゼロであり、スタンドアローンが最強なのです。でも実際にそうは言えないので、結局は本質的に利用するサービスを限定し、常にセキュリティーの対応を続けていくことが不可欠なのです。個人でも会社でも国家でも。