Iphone

議会でさえIoTのサイバーセキュリティの課題に対応できない理由

議会でさえIoTのサイバーセキュリティの課題に対応できない理由

アラン・ボイル

IoTセキュリティパネル
GeekWireサミットにて、エコノミストのモデレーター、マーク・ハリス氏が、Finite StateのCEOマット・ウィックハウス氏、米国下院議員スーザン・デルベネ氏、ワシントン大学のコンピューター科学者フランツィスカ・ローズナー氏とともにIoTセキュリティに関する議論を主導した。(GeekWire Photo / Kevin Lisota)

コンピュータ業界のリーダーたちは長年にわたり、消費者がインターネット接続デバイスをIoTで安全に使用できることを保証できる認証シールの作成について議論してきました。かつてアンダーライターズ・ラボラトリーズやグッドハウスキーピングの認証シールがあったように。なぜそれが難しいのでしょうか?

米国下院議員スーザン・デルベーン氏(民主党、ワシントン州選出)は、IoT 市場は急速に変化しているため、今日安全と思えるものが明日はそうではないかもしれないと述べている。

「かつてはもっと静的なもの、つまり箱に特定のバリデーターが搭載されているだけで、今後何年も使える可能性があると分かっていた時代もありました」と、2015年にIoTに関する議会議員連盟の共同設立者であるデルベネ氏は、本日GeekWireサミットで述べた。「物事がこれほど変化している中で、何かが存在するとしたら、それが数ヶ月後、あるいは数年後に本当に意味を持つと確信するにはどうすればいいのでしょうか?」

彼女と他の専門家は、ウェブカメラからスマートスピーカー、キッチン家電に至るまでのIoTデバイスの数が現在の推定110億から2020年には200億以上に急増するにつれて、セキュリティ保証がますます必要になるだろうと同意した。

オハイオ州に拠点を置くIoTセキュリティ企業Finite Stateの共同創業者兼CEO、マット・ウィックハウス氏は、この傾向が定着しつつある兆候が既に見られると述べた。同氏は、カリフォルニア州で先週成立し、2020年に施行予定の全米初のIoTセキュリティ対策法案を例に挙げた。この法律では、メーカーに対し、ユーザーがIoTデバイスのパスワードを変更できる機能を組み込むことが義務付けられる。

「ハードルは非常に低いですが、出発点にはなりますよね?」とウィックハウス氏は述べた。こうした対策があれば、2016年にハッカーが150万台以上の中国製ウェブカメラを盗み出し、ウェブサイトを攻撃するボットネットを構築した、IoTセキュリティの最も悪名高い失敗と広く考えられている事件を阻止できたはずだ。

https://www.youtube.com/watch?v=GvLnb4YQHh0

ウィックハウス氏は、現在議会で審議中のIoTサイバーセキュリティ改善法案も「正しい方向への良い一歩」だと述べた。しかし、最も大きな推進力となるのは無線通信業界だろう。業界の業界団体であるCTIAは、認証取得に向けて真剣に取り組んでいる。

「現在、デバイスは接続性と機能性がテストされ、Wi-Fi Certifiedステッカーなどが貼付されているだけでなく、IoTセキュリティの認証も様々なレベルで取得できるようになりました」とウィックハウス氏は述べた。「そのため、政府以外でも、企業がセキュリティレベルに基づいて製品を購入できるような標準が整備されつつあります。」

おそらく、最も大きなセキュリティギャップは、エンドユーザーが IoT サイバーセキュリティの詳細をどれだけ熟知しているか、あるいはどれだけ熟知していないかに関係しています。

「多くの人がスマートスピーカーを自宅に置くとき、その機能については考えますが、誰かがそれを聞くかもしれないとは考えていません」とデルベーン氏は述べた。「今、人々がそのことについて語り始めているので、時代は変わりつつあると思います。」

ワシントン大学ポール・G・アレン・コンピュータサイエンス・エンジニアリング学部の助教授、フランツィスカ・ローズナー氏は、賢いユーザーは、IoTデバイスをメインのコンピュータネットワークとは別のネットワークに配置するなど、IoTデバイスを安全に保つためのベストプラクティスをすでに理解しつつあると述べた。

いずれIoTデバイスのハッキング対策は、今日のウイルス対策ソフトウェアやスパムフィルターと同じくらい当たり前のものとなるでしょう。しかし、そのメッセージを理解してもらうには、厳しい教訓を学ばなければならないかもしれません。ハッカーが電子レンジやドアの鍵、あるいは下着までも乗っ取り、ビットコインで身代金を要求するまで待つのは避けたいものです。

プライバシーに関する懸念も大きな問題だとローズナー氏は言う。

「本質的に私たちを監視するデバイスに囲まれている中で、私たちはどのように変化するのでしょうか?」と彼女は問いかけました。「便利な機能を提供してくれるので、私たちは意図的にそれらを自宅に設置してきました。しかし、特に人々が潜在的なセキュリティとプライバシーのリスクをより意識するようになると、それは人々の行動にどのような影響を与えるでしょうか? あなたは今、リビングルームでスマートスピーカーのセキュリティを完全に信頼できるかどうかわからないため、特定の政治的意見を表明することに不安を感じていませんか?」

ある市場調査では、2022年までに米国の全世帯の半数以上が自宅に少なくとも1台のスマートスピーカーを所有すると予測されています。

「これを攻撃対象として考えると、恐ろしいことです」とローズナー氏は述べた。「もしあなたが敵対者なら、アメリカの世帯の半分を盗聴できるとしたら…。そして、消費者として考えれば、自宅での行動に萎縮効果をもたらすでしょう。」