ゼロトラストのIoT、5Gとの関係とは
前回までは、境界型セキュリティを補完して強化するするゼロトラストの位置づけについて書いてきましたが、ゼロトラストは境界型ではそもそも対応が難しかった分野でも活用が見込まれています。その一つが、2020年までに全世界で500億台に達するとも予想されていたIoTデバイスのセキュリティです。
総務省の情報通信白書によると、実際の普及状況は2021年現在でも300億台程度と見られており、増加の速度は予想を下回っていますが、今後も増加が続くことは確実ですし、そのペースは加速するでしょう。そして今は300億台のうち半分近くをスマホなどの「通信」機器とコンピュータが占めていますが、これらの分野の伸びは鈍化しており、今後は工場、インフラ、物流などの「産業用途」や、家電などの「コンシューマ」が急激に伸びると予想されています。
かといって、境界型で対応できるかというと、それも難しい面があります。ゲートウェイに大量のアクセスが集中した場合に処理が追いつかなくなる可能性もありますし、ネットワークも逼迫します。そもそも、常時接続ですらない場合も想定しなければなりません。
このような状況から、IoT機器のセキュリティは数年前まで「悪夢」とすら言われてきました。それは、従来の境界型セキュリティの環境に数百億とも言われるIoTデバイスが新たに接続された時点でセキュリティが崩壊すると考えられていたからです。
IoTの導入形態は多種多様であり、その問題に対処するためのソリューションはさまざまに提案されています。その中の大きな方向性のひとつとして、ゼロトラストのエンドポイント保護が注目されているのです。数の多さとネットワークへの影響から、境界型やゲートウェイ型のセキュリティを採用しづらい(もちろん、用途や設計によります)のであれば、デバイス認証を強化することでセキュリティを担保するというエンドポイント派の考え方は、一定の説得力を持ちます。もちろんこの場合、デバイス側には最低限のリソースが必要になります。それは最低限のCPUやメモリに加え、ハードウェアによるセキュリティの確保も含みます。
先日、MicrosoftがWindows 11を発表しました。UIの変更や各種アプリのアップデート、Androidアプリのサポートなどが特長ですが、セキュリティ関係者が注目したのが「TPM2.0」がハードウェア要件に追加されたことです。TPM(Trusted Platform Module)はセキュリティ用の半導体チップで、暗号化などの機能を備え、鍵を保存することもでき、PCのマザーボードに搭載されます。ソフトウェアの影響を受けない場所にセキュリティ機能を置くことで、起動直後からコンピュータを守り、改ざんや不正アクセスから守ることができるのです。このTPMのような考え方をIoTデバイスにも取り入れていくことが、今後の検討課題のひとつになっていくでしょう。
5Gはモバイルネットワークですから、個々のデバイスに組み込まれたSIMによって識別することができます。IPネットワークのアドレスとは違い、SIMの情報は改ざんしたり、なりすましたりすることができません。つまり、SIMによって確実にエンドポイント認証を行うことができるのです。
現在スマホを使った認証が広く使われるようになっているのは、個々のスマホはSIMによって確実にデバイスを認証できるからです。SIMによる物理的な認証に加えて、パスワードもしくは指紋や顔などの生体認証を組み合わせることで多要素認証を実現でき、その面からもセキュリティは高くなります。そのエンドポイント認証の仕組みが、5Gで繋がるIoTデバイスやその他のデバイスでも利用できることになるのです。数年前から物理的なSIMカードを使わないeSIMのサービスが始まっていますが、eSIMのeは「embedded(組み込み)」の「e」であり、IoTデバイスの普及を見通した新しいSIMの形態ということができます。
さらに、5Gから開放される「ローカル5G」が、セキュリティにも大きな影響を及ぼします。ローカル5Gは、企業や自治体が個別に運用できる5Gネットワークです。4Gまでは、モバイルネットワークサービスを展開できるのは大手キャリア(ドコモ、au、ソフトバンク、楽天モバイル)に限られていましたが、5Gでは地域や目的を限定した免許が用意されており、工場や倉庫、農場といった限られたエリアで自営の5Gネットワークを構築・運用・利用することができるようになります。
ローカル5Gにはネットワーク配線などの工事が必要無いため、コストを低く抑えることができ、レイアウト変更も容易です。無線LANと比べても、同時接続数や通信速度、レイテンシーの面で大きなメリットがあります。そしてSIMによるデバイス認証を組み合わせることで、確実なデバイス認証を行うことができます。認証されたデバイスのみが参加できるよう設定されたローカル5Gは、いわば「無線閉域網」として機能します。外部との接続が入り込む余地を無くすことで、リスクをコントロールすることができるのです。
このように、エンドポイントを確実に認証し、ポリシーを適用して「最小権限の原則」を徹底することで、ゼロトラストの元でIoTネットワークをセキュアなものにできる道筋が見えてきました。処理能力の低いデバイスや常時接続でないデバイスの取扱いや、ネットワークへの負荷、レイテンシーなどの課題も残されていますが、大きな流れとしてゼロトラストがIoTセキュリティに及ぼす影響は大きいと考えられます。ゼロトラストを5Gなどの最新技術を効果的に組み合わせることで、さまざまな分野でよりセキュアなネットワークの構築が可能になっていくでしょう。
第2回 「境界型とは違うゼロトラストのアプローチ」の記事はこちら
総務省の情報通信白書によると、実際の普及状況は2021年現在でも300億台程度と見られており、増加の速度は予想を下回っていますが、今後も増加が続くことは確実ですし、そのペースは加速するでしょう。そして今は300億台のうち半分近くをスマホなどの「通信」機器とコンピュータが占めていますが、これらの分野の伸びは鈍化しており、今後は工場、インフラ、物流などの「産業用途」や、家電などの「コンシューマ」が急激に伸びると予想されています。
「悪夢」と言われたIoTセキュリティ
コンピュータやスマホなどは高性能なCPUを積み、メモリも潤沢にあるため、エンドポイント側でさまざまなセキュリティ対策が可能でした。常時接続があたりまえですから、シグネチャやポリシーのアップデートなども容易です。しかし、今後増加が見込まれている産業用やコンシューマ向けのIoTデバイスでは、小型・省電力・小容量・低パフォーマンスのものが中心になると考えられますし、通信環境もさまざまなものになるでしょう。デバイス側に十分な容量が確保できない場合、十分なセキュリティ対策を施せないことが懸念されます。かといって、境界型で対応できるかというと、それも難しい面があります。ゲートウェイに大量のアクセスが集中した場合に処理が追いつかなくなる可能性もありますし、ネットワークも逼迫します。そもそも、常時接続ですらない場合も想定しなければなりません。
このような状況から、IoT機器のセキュリティは数年前まで「悪夢」とすら言われてきました。それは、従来の境界型セキュリティの環境に数百億とも言われるIoTデバイスが新たに接続された時点でセキュリティが崩壊すると考えられていたからです。
先日、MicrosoftがWindows 11を発表しました。UIの変更や各種アプリのアップデート、Androidアプリのサポートなどが特長ですが、セキュリティ関係者が注目したのが「TPM2.0」がハードウェア要件に追加されたことです。TPM(Trusted Platform Module)はセキュリティ用の半導体チップで、暗号化などの機能を備え、鍵を保存することもでき、PCのマザーボードに搭載されます。ソフトウェアの影響を受けない場所にセキュリティ機能を置くことで、起動直後からコンピュータを守り、改ざんや不正アクセスから守ることができるのです。このTPMのような考え方をIoTデバイスにも取り入れていくことが、今後の検討課題のひとつになっていくでしょう。
ゼロトラストと5G
そして、IoTと関係が深いのが、5Gです。5Gというと、スマホで高画質に映画を見るための技術と考えている方もまだまだ多いのですが、5Gの本質は他にあります。レイテンシー(遅延時間)が短く、同時に接続できるデバイスの数が増えるなど、IoTや自動運転、遠隔医療などに役立つ機能が期待されているのです。そしてさらに、5Gはセキュリティの強化にも貢献できるのです。
現在スマホを使った認証が広く使われるようになっているのは、個々のスマホはSIMによって確実にデバイスを認証できるからです。SIMによる物理的な認証に加えて、パスワードもしくは指紋や顔などの生体認証を組み合わせることで多要素認証を実現でき、その面からもセキュリティは高くなります。そのエンドポイント認証の仕組みが、5Gで繋がるIoTデバイスやその他のデバイスでも利用できることになるのです。数年前から物理的なSIMカードを使わないeSIMのサービスが始まっていますが、eSIMのeは「embedded(組み込み)」の「e」であり、IoTデバイスの普及を見通した新しいSIMの形態ということができます。
さらに、5Gから開放される「ローカル5G」が、セキュリティにも大きな影響を及ぼします。ローカル5Gは、企業や自治体が個別に運用できる5Gネットワークです。4Gまでは、モバイルネットワークサービスを展開できるのは大手キャリア(ドコモ、au、ソフトバンク、楽天モバイル)に限られていましたが、5Gでは地域や目的を限定した免許が用意されており、工場や倉庫、農場といった限られたエリアで自営の5Gネットワークを構築・運用・利用することができるようになります。
このように、エンドポイントを確実に認証し、ポリシーを適用して「最小権限の原則」を徹底することで、ゼロトラストの元でIoTネットワークをセキュアなものにできる道筋が見えてきました。処理能力の低いデバイスや常時接続でないデバイスの取扱いや、ネットワークへの負荷、レイテンシーなどの課題も残されていますが、大きな流れとしてゼロトラストがIoTセキュリティに及ぼす影響は大きいと考えられます。ゼロトラストを5Gなどの最新技術を効果的に組み合わせることで、さまざまな分野でよりセキュアなネットワークの構築が可能になっていくでしょう。
IoTのセキュリティ対策はお済みでしょうか?
IoTのセキュリティは多くの企業にとって重要かつ急務の課題です。しかし、日々目まぐるしく変化していく技術や状況のなかで、対応が追いついていないのが実情ではないでしょうか?ICTシステムの構築や電子デバイス製品も手掛けるミツイワなら、お客様のニーズに応じて最適かつ総合的なセキュリティ対策をご提案できます。是非、お気軽にご相談ください。コラム「ゼロトラスト」のバックナンバーはこちらからご覧ください。
第1回 「クラウド時代の新たなセキュリティ」の記事はこちら第2回 「境界型とは違うゼロトラストのアプローチ」の記事はこちら
