フィンランドのセキュリティ企業F-Secureの最高研究責任者、ミッコ・ヒッポネン氏は、 「インターネットに接続されたものを保護する」ことを目的とした消費者向けファイアウォールデバイスSenseの発表時にThe Regに語った。
ヒッポネン氏は、IoTは避けられないと語る。「電気を使うものはコンピューターになる。電気を使うものはオンラインになる。将来、好むと好まざるとに関わらず、あるいは意識しているかどうかに関わらず、IoT家電製品ばかりが購入されるようになるだろう。」
家電メーカーは、どんなにありふれたデバイスでも、あらゆるデバイスにコネクティビティ機能を追加するでしょう。なぜなら、機能追加にかかるコストはごくわずかだからです。これらのデバイスがオンライン化するのは、消費者の利益のためではなく、ベンダーの利益のためです。彼らは分析機能を求めています。10年後、15年後には、すべてのトースターに2セントのチップが搭載されるでしょう。そうすれば、顧客がどこにいるのか、街のどの辺りにいるのか、どのくらいの頻度でトーストを焼くのか、時間帯はいつなのか、どんな種類のパンを使っているのか、故障の頻度はどれくらいなのか、すべて把握できるようになります。IoT革命への参加を拒んでは、この流れを避けることはできません。
ヒッポネン氏によると、こうしたデバイスは家庭用Wi-Fiシステムに依存しないため、同社の新型ハードウェア「Sense」の原理を損なうことになるという。しかし、現状では家庭用Wi-Fiが主流となっている。
Senseは従来のファイアウォールとクラウドサービスを組み合わせ、動作ベースのブロックやデバイスレピュテーションといった概念を用いて、安全でないデバイスの有無を判断します。Freedome VPNやWindowsおよびモバイルセキュリティアプリなど、F-Secureの他のサービスとバンドルされています。SenseルーターはOpenWrtプロジェクトをベースにしていますが、F-Secureアプリ経由でのみ設定できるようロックダウンされています。技術系のユーザーは設定オプションの制限に不満を感じるかもしれませんし、現実的なリスクに対応しているにもかかわらず、1年間のサブスクリプションで169ポンド、その後は月額8.50ポンドという価格に抵抗を感じる人もいるかもしれません。
IoTセキュリティに特化したファイアウォール「F-Secure Sense」
「ソフトウェアでデバイスを保護することはできないので、ネットワークから保護する必要があります。他に方法はないと思います。唯一の方法は、ベンダー自身が問題を解決することです。しかし、それは長い道のりになるでしょう」とヒッポネン氏は語る。
私が購入した安価な中国製のIPカメラについて触れましたが、このカメラはデフォルトでuPnPポートフォワーディングが有効になっており、中国のピアツーピアサーバーへのアウトバウンド接続を無効化できず、安全でないAndroidアプリでサポートされているため、これらのカメラへのハッキング方法は簡単に発見されてしまいます。Senseはこのような問題をどのように解決するのでしょうか?
ベンダー各社と協力し、自社で修正するよう働きかけます。もしベンダーが修正しない場合は、ブロックするか、ユーザーに通知して脆弱性のあるデバイスを使い続けさせるかしか選択肢がありません。第三の選択肢はありません。私たちはこの問題に直面しており、単純なものではありません。そして、Sense市場はまだ新しいのです。
「1月のCESでシマンテックがCore(類似デバイス)を発表したのを見て、本当に嬉しく思いました。市場が巨大だから競争を心配しているわけではありません。むしろ、私たちが問題視していたことをシマンテックが実証してくれたことがとても嬉しいです。」
消費者向けIoTセキュリティ対策をきちんと行っている企業はあるのだろうか?「真剣に取り組んでいる家電メーカーを見つけるのは非常に難しい」とヒッポネン氏は言う。「なぜなら、洗濯機にとってサイバーセキュリティはセールスポイントではないからだ。最も重要なセールスポイントは価格だ。つまり、我々は自ら失敗する運命にあるのだ。」
このような状況に対する解決策としては、規制や認証といったものがあります。しかし、規制はほとんどの場合失敗します。私は規制の支持者ではありません。EUのクッキー法がその好例です。
意外な好事例の一つとして、フラットパック家具販売店のIKEAがスマート照明にTRÅDFRIシステムを採用しているのが挙げられます。IKEAが他社と違うのは、どのような点でしょうか?
彼らは特注のリアルタイムOSを稼働させています。LinuxでもWindows IoTでもありません。リアルタイムOSでありながら、いかなるサービスも実行していません。彼らはシステムを簡素化し、すべてを取り除いています。TCPポートは一切開いていません。UDPポートを1つだけリッスンし、認証されたトラフィックのみをリッスンしています。セキュリティパッチも適用されており、IKEA ITのIPアドレス範囲からのみ受け付けられます。また、長い鍵でコード署名されています。つまり、彼らはまさに正しいことをしているのです。ロケット科学などではなく、正しく実行しているだけです。
