あらゆる機器がネットワークにつながるSociety 5.0では、「サイバー攻撃」の脅威は無視できない状況です。安心、安全な社会を実現するには、行き当たりばったりのセキュリティ対策ではなく、先回りして事前に対策を講じておく「セキュリティ・バイ・デザイン」が求められています。
Society 5.0に必要不可欠な「セキュリティ」
IoT(モノのインターネット)や人工知能(AI)といった技術の発展により、インターネットの「サイバー空間」と、身の回りの「物理的な空間」が融合した新たな社会Society 5.0を迎えようとしています。
高齢化社会、人口減少など、日本の労働力が縮小するなか、Society 5.0は社会課題の解決に向けて大きな役割を果たすことが期待されています。一方で懸念が高まっているのがサイバー攻撃です。
安心、安全な環境でシステムを利用するには、セキュリティが欠かせませんが、中でも、あらゆるものがサイバー空間に接続されるIoTを前提とした社会では、セキュリティ・バイ・デザインが重要とされています。
これは、「セキュリティを踏まえて新しい製品やサービスを作ろう」という考え方です。工学部のようにものづくりに関わる研究に携わるのであれば、ぜひとも頭に入れておくべきものといえるでしょう。
あらゆる機器がつながるサイバー空間
ひと昔前は、インターネットに接続される機器といえば、パソコンやサーバー、スマートフォンでしたが、最近はテレビ、エアコン、スピーカー、冷蔵庫など家電をはじめ、あらゆる機器が接続されるようになりました。
外部より遠隔操作を行ったり、機器のセンサーで取得したデータをクラウドに送信し、解析することで、より便利な機能を提供しています。ネットワークに接続する機器はますます増加していくでしょう。
これは「家電」といった身の回りの機器に限りません。自動車やビルシステム、工場などはもちろん、発電所や水道、医療、通信など、社会に欠かせない重要インフラなどもサイバー空間とつながります。
IoTがサイバー攻撃を受けたなら?
あらゆる機器がインターネットに接続できる世界では、利便性は高まりますが、もしネットワーク経由で第三者によってシステムが侵害されれば一大事です。
特に、電力発電所などの重要インフラがで、重要なデータを改ざんされたり、システムを勝手に操作されれば、ライフラインが止まって社会システムは混乱に陥り、場合によっては生命に危険が及びます。
ネットワークを通じて常に攻撃にさらされており、少しでも甘さを見せればサイバー攻撃者の狙い目となってしまうのです。
後付けが難しいIoTのセキュリティ
そこで重要となるのが「セキュリティ」です。しかし、すでに利用されている機器に設計上のミスがあり、外部から攻撃を受けてしまうような「ぜい弱性(弱点)」が見つかっても、これをあとから補強するのは、現実的になかなか難しいのです。
設計上のミスをカバーするための機能を追加できない仕様となっている場合もありますし、追加できる余地があっても、あらかじめ開発時に想定していない機能を無理やり付加すれば、予想外の「副作用」が生じる可能性もあります。
「セキュリティ・バイ・デザイン」の重要性が高まる
IoTによって支えられるSociety 5.0の世界では、脅威と遭遇してから対応を検討していては、手遅れとなりかねません。
そこで製品やサービスを企画、開発(デザイン)する段階で、あらかじめ脅威を想定し、防衛策を盛り込んだり、セキュリティ対策がスムーズに講じることができるよう先手を打っておく考え方こそセキュリティ・バイ・デザインなのです。
重視されてこなかった「セキュリティ・バイ・デザイン」
脅威が表面化していなかった以前は、開発リソースや時間などを余分に消費し、コストが大きくかさむとして、あまり「セキュリティ・バイ・デザイン」には注力されていませんでした。
しかし、高度なサイバー攻撃が日常的に発生している今日、対応が後手に回れば、事業継続が困難となったり、利用者の命や財産が危険にさらされたり、社会活動に影響を及ぼすおそれもあります。
ひとたび事故が発生すれば、メーカーは信用が失墜し、訴訟を起こされる可能性もあるのです。Society 5.0の実現に向けて「セキュリティ・バイ・デザイン」はもはや必要不可欠の存在です。
コスト削減にもつながる「セキュリティ・バイ・デザイン」
同じセキュリティ対策を講じるのであれば、設計や開発など、早い段階でセキュリティ対策を講じれば講じるほど、費用を抑えることができるとの試算もあります。
中には、発売後にセキュリティ対策を行う場合と比較すると、コストが数十分の1で済むとの試算もあるほどです。
どのように「セキュリティ・バイ・デザイン」を実現するか
設計上に大きな問題点がないか、また機能をプログラムで実装する際、安全なプログラミング手法が用い、早い段階でテストなど実施して、サイバー攻撃に悪用されそうなぜい弱性やバグ(プログラム上のミス)を解消していきます。
とはいえいくらチェックしてもプログラムからバグを完全に取り除くことは困難です。将来、想定外の脅威が登場した場合にも備えてアップデート機能などを用意しておきます。
機器が役目を終えたあと、人知れず動作することを防ぐため、廃棄する方法についても考慮しなければなりません。機器が生まれ、廃棄されるまでの「ライフサイクル」を設計時より考慮しておきます。
また自動車をはじめ、命を守る「セーフティー」などもこれまで研究されてきましたが、セキュリティとの連携も重要です。万が一、サイバー攻撃を受けたり、ネットワークに接続できなくなった場合にも安全に停止する機能なども検討しなくてはなりません。
求められる将来を見越した「システム開発」
開発サイクルにおいて、設計や企画など「上流工程」と呼ばれる初期段階で重要な対策を十分検討し、手戻りを防ぐ開発手法は、時間軸における初期段階で対策を講じる手法も「セキュリティ・バイ・デザイン」もそのひとつです。
セキュリティ以外にもこうした取り組みは行われています。例えば、世の中でプライバシー保護の意識が高まっていますが、「IoT」ではセンサーなどで個人データなどを取得する場合も多くあります。
あらかじめ「プライバシー保護」について、企画や設計の段階であらかじめ検討する「プライバシー・バイ・デザイン」といった考え方も提唱されています。
「セキュリティ・バイ・デザイン」を学べる大学、学部
「セキュリティ・バイ・デザイン」は、システムやサービスにおいてセキュリティを実装する際の概念です。大学では、情報通信や情報処理、ソフトウエア工学など、セキュリティのカリキュラムを持つ学部学科で学ぶことになるでしょう。
また安全なプログラミング言語やシステムの開発なども「セキュリティ・バイ・デザイン」を実現する上で重要な研究となります。
重要インフラ、医療、自動車、家電、ソフトウエア
