「Automotive World 2017」展示会が1月18日から01月20日まで3日間東京のビッグサイト展示場で開催された。「カーエレクトロニクス技術展(CAR-ELE JAPAN)」、「EV・HEV駆動システム技術展(EV JAPAN)」、「クルマの軽量化技術展(Weight Reduction Expo)」、「コネクティッド・カーEXPO(Connected Car JAPAN)」、「自動車部品&加工EXPO(カーメカJAPAN)」の5つの分野の技術展が開かれ、961社が参加した大規模なイベントだ。
自動車というのは、本当に興味深い物である。自動車を、人工的な動力で回転する車輪を路面と摩擦させその反作用で移動する交通手段、として理解する人は多分いないだろう。「車は私のプライド!」という言葉は、人々が自動車という物に対して抱いている物自体の意味をはるかに超えたとても複雑な心理を反映しているわけだ。そのため、自動車はその時代を代表するあらゆる技術が最優先的に適用される当代技術のバロメーターと言える。したがって、自動車技術展は関心の的になるのが当然のイベントだ。
最初に目を虜にしたテーマは「素材」だった。特に、軽量化研究開発のレベルがもうかなり円熟して、以前はおもちゃのように感じられたポリカーボネート(Polycarbonate)、炭素繊維強化プラスチック(CFRP、Carbon Fiber Reinforced Plastic)などプラスチック素材はもはやおもちゃのようには見えなかった。マグネシウムそしてチタン合金、セラミックなどのすでに見慣れていると思った素材も以前とは違って、それなりに新しい感じだった。車体だけでなく、各種部品の軽量化の試みも目覚ましい発展をとげていて、技術者のこれまでの研究・開発努力に拍手を送らざるをえなかった。
しかし、最も大きな変化はやはりITだ。よく見たり聞いたりもするが、何だかちょっと遠くのもののように感じていた「コネクティッド・カー(Connected Car)」という言葉も今では耳慣れてきた。これが当然のことになったのは、今生産される自動車一台に入るプログラミングコードが、私たちがよく使うPC運営体制(OS、Operating System)のコードよりはるかに多く、それがどんどん増えているためである。すでに自動車は完全なITデバイスであるといえる。「コネクティッド・カー」とは、そのITデバイスがお互いにインフラとつながることに過ぎない。未来のことではなく現在のことだ。
他にも面白いと思ったのは、今までのイベントに比べて、観客の質問が驚くほど活発だったことだ。これもまた自動車という対象に対する高い関心のためだろう。自動車セキュリティ関連のブースでは、通路まで出て「これを見てください!」と騒がなくても自発的に訪れて質問している観客がとても多かった。
ここでは最も重要と考えられる3つの疑問とその答えを通じて、自動車セキュリティ、ひいてはIoTセキュリティの最も根源的な疑問を解消してみよう。
Q1:自動車セキュリティは、既存のITセキュリティとどのような点で、互いに違うの?
自動車セキュリティが「IoT(Internet of Things)セキュリティ」であるため、既存のITセキュリティとは「違う」ものである。自動車セキュリティは、IoTセキュリティの脈絡と見なければならない。ところが、IoTも結局はITの一部なので、IoTの反対概念として、既存のインターネット使用を「IoM(Internet of Man)」と呼ぶことにしよう。
IoTとIoMの決定的な違いは、あまりにも当然な言葉だが、人がいるか、いないかの違いである。人がコンピューターを使う際、動作の土台はユーザーの自律性である。コンピューターはとても一般的な計算能力を提供して、人はコンピューターの計算能力を活用し、自分がしたい作業を自由に遂行する。したがって、コンピューターは「一般目的(General Purpose)」を達成するための道具である。それで、コンピューターを作る時も一般的に、つまり機能の制限を最小限において設計する。
人がインターネットを使用する時もこれは同様だ。たくさんの人たちはそれぞれ違う目的でインターネットを使うため、インターネットサービスもまた一般的な目的に合致する方式で作られる。インターネットサービス事業者は、さらに多くさらに広く拡張される「接続性(Connectivity)」を最優先の価値とみなしている。インターネットサービスが成功するためにはできるだけ多くの人が必要だからだ。それでIoM環境もまたコンピューターと同様に、一般的には機能の制限を最小限において設計する。
しかし、拡張だけを続けるからと言って事業が必ず成功するわけではない。どんな方法を通じても、結局はお金を儲けなければならない。また、必然的にユーザー認証などの一般性制限が発生する。あるユーザーが誰なのかが分かって、本当にその人かどうか確認しなければならず、取引をするためには電子商取引システムも備えなければならない。ここから各種のセキュリティの必要が生まれる。このように一応は接続してからセキュリティを適用するIoMは、「先接続、後のセキュリティ(Connect First then Secure)」方式と言える。
ところが、人ではなく事物がインターネットに接続するIoT時代が到来した。IoTとIoMの最も大きな違いは、インターネットに接続する事物は人ではないという点だ。人は前述した「一般目的」に従って行動するが、物は「特定目的(Special Purpose)」を達成するための道具だ。たとえばある物にある仕事をさせるが、もしその物が他の仕事をすることになると危険なため、そもそも付与された特定な目的だけに沿って忠実に動作するように設計しなければならない。誤動作する場合、人の安全を脅かすこともできるし、この頃盛んに研究されているモノ間の電子商取引が実用化されれば、事物の主人の立場では「私の車がエンジンオイルは買わずに洗濯洗剤を10個も買ったよ!」という非常に荒唐無稽なことが起こる可能性もある。IoTをIoMとして理解すれば実際に起きうる事だ。
同じ理由で、物事をインターネットに接続する時も特定目的を充足するようにしなければならない。そのために物事がインターネットに接続される時は事前にすでに完全なセキュリティを備えなければならない。これは、IoTの「先セキュリティ、後の接続(Secure First, then Connect)」原則だ。些細に見えるが、とても重要な違いがある。IoMの「先接続、後セキュリティ(Connect First then Secure)」は方式だが、IoTの「先セキュリティ、後の接続(Secure First, then Connect)」は原則だ。一貫性を持って守らなければならない基本的なルールという意味だ。言い換えれば、IoMは「先セキュリティ、後の接続(Secure First, then Connect)」方式で設計することができるし、お薦めすべきことだが、IoTは「先接続、後セキュリティ(Connect First then Secure)」方式で設計してはいけない。
これは、物の接続とその接続を通じて収集した情報をもとにしたサービスを提供するのがIoTの当初の目的だからである。物を敢えてインターネットに繋ぐ理由が何か。冷蔵庫のドアに付いているスクリーンでインターネットをするためか?違う。物をインターネットに接続して、これを通じて収集したデータをサーバーが受けて分析し、このようなデータマイニング作業を通じて抽出した有意義な情報をサービスで提供するためである。この時、物が収集して、サーバーに送るデータが汚染されてはならない。
間違った情報をもとにしたサービスは危険だ。そのためにでも物はインターネットとの接続に先立ち、完全なセキュリティをまず備えなければならないのだ。
Q2:IoTセキュリティにシグネチャ方式ではなく、ロジカル方式を適用しなければならない理由とは?
上のQ1で調べた物の「特定目的(Special Purpose)」のためである。
従来のIoM環境のコンピューターとインターネットは、その使用目的が一般的であるため汎用的に(Versatile)設計される。道具を使ってどんな仕事をするかを人が決定するため、ユーザーがどんな仕事もできるようにとても汎用的に作られる。したがって、十分な汎用性と十分な接続性を確保するために、リスクが高くても開放された構造を選ぶしかない。すべての電算システムは、「アプリケーション/システム/ネットワーク」という3つの階層で構成されるが、汎用性と接続性確保のため、その階層はお互いに分離されなければならず、したがってセキュリティも3つの階層にそれぞれ適用しなければならなかった。それでセキュリティ分野を分類する時、「ネットワークセキュリティ」、「システムセキュリティ」、「アプリケーション・セキュリティ」のように分けているのだ。
しかし、IoTセキュリティは最初から「特定目的」のためだけに作られた道具のセキュリティだ。つまり、さきの3つの階層を別途で設計し、組み合わせてそれぞれ別途のセキュリティをかける従来の方式ではなく、3階層全体を単一の道具として設計しなければならない。つまり、ネットワーク/システム/アプリケーション・セキュリティをお互い違う分野に分けて考えるのではなく、一つの「IoTデバイス」に対する総体的セキュリティとして理解しなければならない。そうしなければ、それはセキュリティを問う前に、そもそも道具自体としても危険なものとなってしまう。重ねて強調するが、IoTデバイスは、最初に与えられた特定の目的を実行するように設計しなければならない。
IoMセキュリティとIoTセキュリティ、異なる二つの概念の違いを正確に理解しなければ、IoT環境に対してIoMセキュリティ方法論をそのまま適用するミスを犯すようになる。よくある例を出して、どんなミスがあるか調べてみよう。
ある自動車メーカーがインターネットに繋がる自動車を作る。セキュリティ脆弱性検査をセキュリティ会社に依頼する。セキュリティ会社は、従来のIoMセキュリティ方法論により、各種の脆弱性テストをして報告書を提出し、自動車メーカーはその報告書によって脆弱性を防ぐセキュリティパッチを追加して、新たな脅威が現れるまでは「暫定的に安全だ」と判断する。これが現在一般的に行う自動車セキュリティだ。しかし、これは根本的に間違っている。自動車、ひいてはIoTセキュリティはそもそも脆弱性というものがあってはいけない。
前に述べたように、インターネットに繋がる物は最初から特定の目的だけを実行するように設計されなければならない。そのため、ロジカル方式がシグネチャ方式より優秀である・効率的であるといって適合しているわけではなく、最初のIoTセキュリティはロジカル方式でなければならないのだ。そして、その「ロジック(Logic)」は、当該「IoTデバイス」に対する総体的なセキュリティの一部として動作しなければならない。
Q3:自動車自体のセキュリティが重要なのか、交通インフラのセキュリティが重要なのか。
これもまたQ1での「先セキュリティ、後の接続(Secure First, then Connect)」原則によるIoTセキュリティの特殊性の問題だ。IoM環境ではユーザーがインターネットを使用しながら、身元認証が必要な際、ユーザー認証などのセキュリティ措置をとる。これは、個人のプライバシーが露出される部分について選択的・集中的にできるという意味だ。しかし、IoT環境ではIoT環境だけの特殊なセキュリティの必要がさらに発生する。「先セキュリティ、後の接続(Secure First, then Connect)」原則によって、物がインターネットに接続する前に完全な認証手続きが発生するため、その物を使用するユーザーのプライバシーが常に露出される危険がある。自動車を例として挙げれば、車両の位置、したがって、運転者の位置が常に露出することだ。さらに、自動車は単独で存在するのではなく、公共施設の交通インフラと直接接続するためにPKI(Public Key Infrastructure)など公的認証手続きを経なければならないため、プライバシー問題はより深刻になる。
そのため、自動車自体のセキュリティと交通インフラのセキュリティはどれがもっと重要なのかを追及すべきことではなく、自動車とインフラは概念上、同等の重要度を持ったまま総体的なセキュリティを達成するように安全に設計されなければならない。
自動車セキュリティの特殊性を例として調べてみよう。自動車は、インターネットに接続された物として固有のIDを持つ。「先セキュリティ、後の接続(Secure First, then Connect)」原則によって、インターネットに接続するときは、既に認証が完了した状態だ。すなわち、その自動車は、走行中にその位置が常にさらされることになる。運転者が任意にインターネットの接続を切ったら?いや、交通インフラは自動車のインターネット接続を前提として交通状況の統制や管理をするため、それはできない。このように自動車そして運転者の位置情報、つまりプライバシーがやたらに露出されてもいいのか。この時点で、従来のIoMと違うIoTだけのセキュリティの必要がさらに発生する。上のプライバシー侵害問題を解決するため、自動車は複数のIDを持っていて、走行中にこれを定期的に交替し、これを通じて交通インフラはその自動車を交通の単位として認識するようになる。そんな方法を通じてIoTの「先セキュリティ、後の接続(Secure First, then Connect)」状態でも匿名性を追加的に付与することで、プライバシーを保護できる。
このように、近未来の交通環境では自動車自体のセキュリティと交通インフラのセキュリティがお互いに完全な相互作用を成し遂げなければならないため、どれがもっとも重要だと言うことができない。そして、自動車自体のKMS(Key Management System)そして交通インフラのPKIの有機的な結合など、自動車セキュリティ技術の研究開発は、自動車とインフラ両方に対して、総体的で総合的に行なわれなければならない。これは、自動車セキュリティがお互いに異なる各種のセキュリティツールの組合せではなく、完全な「トータルソリューション」そして「フルパッケージ(Full Package)」として開発されなければならない理由でもある。
先セキュリティ、後の接続(Secure First, then Connect)原則
Q1からQ3までの内容をまとめると、結局すべてがIoTセキュリティの「先セキュリティ、後の接続(Secure First, then Connect)」原則に帰結される。これは、IoM時代からIoT時代に移動する過程で発生するセキュリティパラダイムの変化だ。複雑な話ではない。要するに、
「物をインターネットに接続する前に、セキュリティからしなければならない。」
- トピックス:
- セキュリティ
