「IoTセキュリティマーク」の導入に向け検討が進む

――IoT化の加速が見込まれるなかで、国や企業、個人はセキュリティ対策にどう取り組むべきですか。

　IoTセキュリティの問題点は、攻撃する側と守る側の「非対称性」です。攻撃側のコストが守備側のコストより圧倒的に安く済むこと、攻撃側の人数やスピードが守備側を大きく上回ることなどがあります。この流れを変えるには、企業側には「Security by Design & Privacy by Design」の思想が求められます。モノやサービスの設計段階において、運用、保守、管理、廃棄に至るまでのプロセスを見据え、セキュリティやプライバシーをビルトインするという考え方です。

　個人レベルでは、IoTリテラシーを高めていくための教育の普及・啓蒙が重要です。すぐにできることとしては、IoTデバイスを買ってきたままの状態で使用せず、管理者用パスワードなどは、破られにくいものに変更すること。ファームウェアのアップデートが表示されたら、ちゃんとアップデートすること。アップデートができない機器は買わないことが挙げられます。とはいえ、どのデバイスが買って安心かそうでないかはわかりにくいので、エコマークのようにユーザがわかりやすい形の「IoTセキュリティマーク」のような認証マーク制度ができないか提案・検討しているところです。

　問題は、だれがどうやって認証するかということと、業界ごとに必要となるセキュリティレベルが異なることです。ソフトウェアを使って高速で自動的に検知するような仕組みをつくり、1年以内をめどに産官学連携の第三者機関などを設立できないか検討中です。

　もう一つのムーブメントとしては、セキュリティガイドラインの標準化があります。IoT推進コンソーシアムと傘下のスマートIoT推進フォーラム、経済産業省、総務省などが連携し、2016年に「IoTセキュリティガイドラインver.1.0」が策定され、2017年にはその英語版が公表されました。今後は、これを上位概念として、車載器やIoTゲートウェイ、ATM、POSなどの分野ごとにセキュリティの取り組みを体系化。さらに英語版を作成し、海外の関係機関とも連携しながら世界標準を目指していきます。これらを統合的に整理した形で、IoT推進コンソーシアムではIoTセキュリティワーキンググループを12月に再開し、IoTセキュリティ総合対策などが議論されています。

――高度IT人材の育成が急務といわれていますが、IoTセキュリティやサイバーセキュリティに必要な人材像、人材教育のそのものも大きく変わっているのではないでしょうか。

　NICTは2017年4月にナショナルサイバートレーニングセンターを創設し、3つのプロジェクトでIoT人材の育成に取り組んでいます。1つは、国家公務員や地方公務員などを対象に年間3000人規模で行うサイバー防御演習「CYDER」。2つ目は、2020年の東京オリンピック・パラリンピック競技大会関連組織のセキュリティ関係者に向け、年間約200人の初級・中級レベルと準上級レベルのスペシャリストを養成するサイバー演習「CYBER COLOSSEO」。3つ目が、25歳以下の若手ICT人材を対象に、1年間のプログラムで将来のハイクオリティなセキュリティエンジニア、研究者を育てる「SecHack365」です。

　将来的には、英国のように「Ph.D. in Cyber Security」を持つトップノッチの人材を輩出するような学術研究機関の創設が不可欠です。英語でコミュニケーションができて、各国の専門家とも連携しながら、未知なる攻撃に対応していくような人材をどう育てていくかは今後の大きな課題です。