IoT デバイスにおける永続的なセキュリティ標準は、政府が厳しい罰則を科し始めない限り実現しないかもしれません。
作家でありコンピュータセキュリティの第一人者でもあるブルース・シュナイアー氏はそう語り、今週のアスペンサイバーサミットのパネルディスカッションで、規制がなければ、製品をインターネットに接続する企業が適切なセキュリティ保護を実施する望みはほとんどないと主張した。
「他のあらゆる業界を見てみると、政府が行わない限り、安全保障は得られない」とシュナイアー氏は語った。
シュナイアー氏、「パーフェクトストーム」を警告:テクノロジーは自律的になり、セキュリティはゴミ
続きを読む
「過去100年間で、政府から指示されずにセキュリティを向上させた業界を見つけられるか挑戦してみます。」
シュナイアー氏はさらに、現状では企業が自社製品に安全対策を実装する理由はほとんどなく、消費者は家電製品ベンダーのセキュリティポリシーを調べることに興味がないと指摘した。
「市場がそうなるとは思わない」とシュナイアー氏は主張した。「不要な機能の数を基準に冷蔵庫を選ぶ人はいないだろう」
シュナイアー氏の評価は独りよがりではない。同じくパネリストのジョンソン・エンド・ジョンソン社のCISO、マレーネ・アリソン氏は、メーカーはIPスタックの部品表のようなものを一切持っていないため、顧客が自社製品やデータがどのように保護されているかを知りたくても、何も知らされていないと指摘した。
「セキュリティ専門家である私でさえ、世間に溢れている情報のほとんどは、何を意味するのか自問自答しなければなりません」とアリソン氏は語った。
これは単にメーカーの不注意による問題ではありません。ベンダーがデータセキュリティに万全を期したとしても、短期的にも長期的にも、多くの物流上のハードルが立ちはだかります。
アリソン氏とシュナイアー氏は、産業用 IoT 機器と消費者向け IoT 機器の時間スケールが劇的に異なる傾向があるため、IT 部門からデータ セキュリティ ポリシーと実践を単純に移植しようとするだけではうまくいかないだろうと同意しました。
「メーカーは5年ごとにIT機器をすべて交換するわけではありません」とアリソン氏は指摘する。「工場の寿命は25年から45年です。」
IoT 機器の多くは交換までに数十年かかるため、サポートも問題となります。
「消費財の寿命は携帯電話やコンピューターよりはるかに長いため、これはライフサイクルを維持する非常に異なる方法だ」とシュナイアー氏は語った。
「消費者向けソフトウェアを40年間維持する方法はありません。」
最終的には、IoT セキュリティの問題への取り組みは政府が先頭に立つ必要があるかもしれませんが、パネリストが指摘したように、長期的な解決策には、メーカー、小売業者、消費者の文化と認識の変革が必要になります。®
