IoTベンダー各社、脆弱性レポート提出には消極的：急速普及するなかで高まる危険性（2/2 ページ）

IoT（モノのインターネット）デバイスの普及が急激に進んでいる。その数は過去最高に達し、データ盗用や操作の乗っ取りを狙った攻撃の増加をわずかに上回っているという。その一方で、民生機器メーカーは現在も、自社製品の脆弱性に関するレポートを提出したがらない傾向にある。EE Timesは、1年半ほど前にこの問題を取り上げているが、それ以降もレポートの数は伸び悩んでいるようだ。

[Ann R. Thryft，EE Times]

IoTデバイスのセキュリティは難しい

Sequitur Labsのマーケティング部門担当バイスプレジデントを務めるLarry O’Connell氏

　コネクテッドデバイスの保護がなかなか進まない理由の1つとして挙げられるのが、「IoTセキュリティは難しい」という点だ。Sequitur Labsのマーケティング部門担当バイスプレジデントを務めるLarry O’Connell氏は、「マイクロプロセッサのセキュリティ確保は非常に難しい」と指摘する。同社は、主に法人顧客や一部の半導体メーカーをターゲットに、ネットワークエッジのスマートデバイスに向けた「Chip-to-Cloud」セキュリティを手掛ける企業だ。

　O'Connell氏は、「IoTベンダーはセキュリティのビジネスを行っていないため、セキュリティの優先順位が下がり、情報開示のプロセス全体が適切に管理されない」と指摘する。IoTベンダーの優先順位は、デバイスを製造し、迅速に出荷することだ。O'Connell氏は、「セキュリティは彼らの世界ではなく、解決困難な問題だ」と述べた上で、「セキュリティと情報開示は、製品の設計、開発、展開の全ての段階において、常に念頭に置く必要がある」と指摘した。

Sequitur LabsのCEO（最高経営責任者）であるPhilip Attfield氏

　Sequitur LabsのCEO（最高経営責任者）であるPhilip Attfield氏は、「セキュリティは動く標的だ」と付け加えた。Attfield氏は、「セキュリティを含め、それに対処するための仕組みを考えなければならない。現場でシステムを操作する人がメンテナンスできるように、プロセスを整備しなければならない」と述べている。

　プロセッサクラスは、システム攻撃を決定することが多く、システムアーキテクチャにも影響される。「大量生産されるマイクロプロセッサであれば、サプライヤーは可能な限りコストダウンを図るだろう」とAttfield氏は述べる。システムの寿命も重要な要素だ。Attfield氏は、「民生用システムなら2〜5年、産業用なら5〜10年、あるいはそれ以上だ。つまり、リスクと、管理するためのシステムを全て設置する費用とが釣り合っているかどうかが重要となる」と語った。

　2022年には、ネットワークエッジのスマートデバイス内でAI（人工知能）の導入が大幅に増加する見込みであり、処理される生データ量によってIoT／IIoTデバイスのセキュリティの緊急性は増すばかりだ。O'Connell氏は、「IP（Intellectual Property）は今やエッジにある」と述べている。

　ソフトウェアスタックとストレージアーキテクチャの変化を考慮すると、もう1つの傾向は「電子システムの破損可能なフットプリントは実は非常に小さく、そのサイズは急速に減少していることだ」（Attfield氏）。「例えば、スマートフォンはますますクラックが難しくなっており、同じことが決済端末でも起こっている」（同氏）

　Attfield氏は、「次に攻撃されるのは、産業用制御システムや医療機器など、まだ追い付いていない他のシステムだろう」と予測している。

【翻訳：田中留美、編集：EE Times Japan】