★☆★JNSAメールマガジン 第53号 2015.1.30.☆★☆
【連載リレーコラム】
「CES2015に見たバラ色?の近未来 〜ネットとIT活用の拡大にセキュリティは追いつけるのか〜」
(JNSA幹事/アルテア・セキュリティ・コンサルティング 代表 二木 真明)
先日、ラスベガスで開催されたInternational CES(Consumer ElectronicsShow:国際家電見本市)に初めて行ってきました。セキュリティ関係者としてはあまり行く機会がないイベントなのですが、最近、IoTや関連するクラウドサービスなどにフォーカスしている関係もあって、最新の動向を見ておきたいと思い参加してみました。
情報セキュリティは、様々な目的で情報や情報技術を使っていく上で、それによりもたらされるリスクを、本来の目的にてらして受容可能なレベルまで軽減することを役割とします。それゆえ、社会で取り扱われる情報のトレンドや関連する情報技術に大きく依存、というよりも従属することになります。たとえば、ビジネスが、機微な情報を最新技術で処理することを必要とするのであれば、我々セキュリティサイドの仕事は、それを最大限「使う」前提で、考えられるリスクを評価し、できるだけ目的を損なわないように対策を考えることです。これを実行するためには、そうした技術が一般に広く使われる以前から研究しておくことが不可欠です。もちろん、理想と現実の葛藤はあって、言うほど簡単ではないのですが、とりあえず、それは置いておいて、新しいものを人に先んじて使う前提で、その使い方を考えて見ることは必要でしょう。
新しい技術は、まずコンシューマー向けに投入されることが多くなっています。しかし、スマートフォンのように、やがてそれがビジネスシーンにも浸透してきますから油断はできません。そういう意味で、CESは、近い将来に拡大していくであろう新しい技術のトレンドを見るには、いい機会だろうと思った次第です。
ここでは、紙面の関係もあって、個々の技術について多くは書けません。詳細は私のブログなどにまとめていますので、それを参照しながら、ポイントを書いていきたいと思います。
今年の目玉を順に挙げると、
インフォテインメントという言葉は聞き慣れないかもしれません。情報(インフォメーション)とエンターテインメントを合成した言葉([Info]mation+Enter[tainment])で、それが表すとおり、自動車内のいわば情報センターとして、自動車内の様々な情報と従来のカーナビやAVシステム、そしてネットを統合して扱うシステムです。いわば、自動車の運転系統以外をたばねるコンピュータシステムであり、従来の個別の機能を汎用的なコンピュータで統合、実現したものと言えるでしょう。ネット上の様々なサービスや、スマートフォンとの連携などで、非常に便利なものとなっている反面、こうした様々なものが「繋がる」ことによるリスクも増加します。システムに使われるプラットホームもApple Car PlayやAndroid OSなど、より汎用性の高いものとなり、スマートフォンなどと同様に好みのアプリケーションを導入できるメリットも一方ではマルウエア感染などのリスクを高めることになります。なにより、これらがすべてCANと呼ばれる車内ネットワークを介して運転制御システムなとども通信するため、CAN側の設計も、サードパーティー製の機器などが接続されることを前提に行う必要が生じます。つまり、CANももはや閉じたネットワークと呼べなくなっているわけです。この分野でも、今後、我々セキュリティサイドの役割は大きくなっていくと思います。
【参考】http://altairsecurity.blogspot.jp/2015/01/ces.html
ニュースなどでも紹介されているように、家電系の今年の目玉は4Kテレビでした。各社とも画像の綺麗さと同時に、テレビの薄さを競っていたようです。その一方で、こうしたテレビが、今ではすべて「スマートテレビ」であり、インターネット上の様々なサービスと連携したり、様々なアプリケーションを動作させることが出来るようになっていることを忘れてはいけないでしょう。そういう意味では自動車のインフォテインメント同様にテレビも次第に汎用的なコンピュータとしての色合いを濃くしていると言えます。実際、プラットホームもAndroidなどの汎用的なものを採用するメーカーも増えていて、それに伴うリスクも増加しつつあります。
白物系では、こちらもネットワーク接続機能が付加されつつありますが、大別すると、その製品の機能の利用を支援するための情報提供、たとえば電子レンジでのレシピ検索、といった機能と、ネットワーク経由でそれらの製品を制御したり、監視したりする機能に分けられるでしょう。前者は、情報検索とブラウジングの機能が中心ですが、後者は、たとえばそうした製品をスマホからコントロールしたり、稼働状況や消費電力を集計したり、というようなものが多くなっています。こうした機能を実現するために、ネットワーク接続やインターネットを介してメーカーが提供するサービスとの連携が必要になり、こちらも利便性の向上に加えて様々なリスクも増加することになります。接続にWiFiやBluetooth、ZigBeeなどの無線技術が使われていることも、通信の安定性という面から検討が必要になります。(もちろんセキュリティ面は言うまでもないでしょう(笑))実際、展示会場内の無線の混雑によりデモが失敗するといった現象が今回は複数見られました。
展示を見ると、とりわけ米国では「とにかく繋ぐ」傾向が強くなっているように見えることから、セキュリティが置き去りにされる危険もありそうに感じました。白物家電の開発では、従来、こうした分野はなじみが薄かったことから、経験のなさもリスクに繋がるような気がします。ここでも我々セキュリティサイドの役割が大きくなっていくと思います。
【参考】http://altairsecurity.blogspot.jp/2015/01/cesiot.html
腕時計型のフィットネスセンサーといったデバイス、眼鏡型のディスプレイ統合デバイスから脳波センサーまで、様々なウエアラブルデバイスや医療・ヘルスケア用のセンサーネットワークなどが展示されていました。前者は主に、Bluetoothを使ってスマホと連携し、事業者が提供するクラウド上のサービスで処理された様々な情報を利用者に提供するというような形が一般的です。また、眼鏡型ディスプレイを使ったAR(拡張現実)による業務サポートなどの応用も米国では現実のものとなっているようです。(こちらは日本メーカーも頑張ってます)脳波センサーを使った「念じて動かす」デバイスの研究も進んでいるようで、いくつかコンセプト的なデモが見られました。変わり種では、スワロフスキーとのコラボで開発されたセンサー付きジュエリーなども展示されていて、女性の人気を集めていました。フィットネス系センサーからの情報は、たとえば、スマホのGPS情報などとも併せて、たとえば移動量やスピードとバイタルの変化を相関させるといった処理も可能で、こうした情報はかなり機微な個人情報になる可能性が高いものです。スマホにマルウエアを仕込んでストーキングに悪用するといったことも充分考えられるので、対策も必要かもしれません。また、サービスサイトでのデータ保持のしかたや、そうしたデータを統計処理のために流用するといったことへのガイドライン整備も必要でしょう。
医療用センサはよりクリティカルです。使えなくなるだけで、患者さんの命にかかわる場合もあり、とりわけ無線の利用は注意が必要です。
【参考】http://altairsecurity.blogspot.jp/2015/01/ces_17.html
最近、「ドローン」という言葉が様々なメディアを賑わせています。インテリジェントな無人飛行機を指して使われることが多いのですが、通販事業者が配達に使うことを検討中、といったニュースもあり、話題も多くなってきました。実際、業務用から趣味のレベルのものまで、様々なドローンが展示されていました。見た目は「ラジコンヘリコプター」なのですが、コンピュータによる操縦支援で操縦が極めて簡単になっていたり、あらかじめパソコンでルートを入力しておけば、GPSを使って、自動的に指示に従って飛行するなどの機能も持っていて、なかなかあなどれないものです。うまく使えば、生活の様々な面で大きく役立つ反面、悪用方法も様々あり、ストーカーからテロまで妄想がふくらみます。現状、なかば野放しの状態のドローンについては、こうした悪用なども念頭に、より突っ込んだ議論が必要かもしれません。
ドローンに限らず、コンピュータ処理能力の向上も有り、ロボットのインテリジェント化も著しいようです。玩具レベルのロボットでも高度な学習機能を有するものがあり、こちらも使い道次第で善にも悪にも強い味方となりそうです。
【参考】http://altairsecurity.blogspot.jp/2015/01/ces_31.html
既に、模造拳銃が作れるといった話題に事欠かない3Dプリンタですが、機能の進化や低価格化は著しいものがあります。価格はすでに一家に一台レベルに近づきつつ有り、たとえば子供の学習用などとしても期待されています。プラスチックの成形だけでなく、食品や生体組織といった「ナマモノ」を扱うようなものも登場しているほか、工業用とでは金属成形なども出来るようになっており、工業にも革命をもたらす一方、拳銃のような従来作れなかったものも作れるようになれば、危険も増すことになります。3Dデータを作るための道具も充実し始めていて、立体情報を入力できる3Dスキャナや、簡単に使える3Dモデリングソフトなども数多く展示されていました。自分の想像力を形に出来るのは楽しいですが、悪意もまた形に出来るので、あれこれと議論が必要になってくるでしょう。
【参考】http://altairsecurity.blogspot.jp/2015/01/ces_29.html
全体として感じたことは、技術はどんどん先に進んでいくし、決して我々を待っていてはくれないということです。しかし、それぞれの領域では、世界中で「天才」たちが知恵を競っていますから、それらの先を考えるなど不可能に思えます。どうしても後手に回ってしまいがちなセキュリティですが、実際、新しいものを自ら進んで使ってみることで、様々な使い方について発想が生まれ、それが悪用に対する「先回り」につながっていくように感じました。一人がすべてを見ていくことは不可能かもしれませんが、多くの人が得意な分野を持ち寄り知恵を交換、共有することで、守る側も先手を取ることができるかもしれない、そんなことを考えさせられた次第です。
【部会・WG便り】
★JNSA西日本支部主催セミナー「NSF 2015 in Kansai」を開催します。
「ビッグデータ活用に向けて!個人情報保護法改正の背景と論点を探る」
日時: 2015年2月20日(金)13時30分〜17時30分(受付開始13時)
場所: 第二吉本ビルディング 会議室A+B
(大阪市北区梅田2-2-2 ヒルトンプラザウエスト・オフィスタワー8階)
プログラム・お申込みは↓こちらから↓
https://www.jnsa.org/seminar/nsf/2015kansai/
【事務局からの連絡、お知らせ】
★「第2回マイナンバー勉強会」を開催します。
日時:2015年2月4日(水)10時〜12時
会場:ハロー貸会議室虎ノ門 3階
(港区虎ノ門1-2-12 第二興業ビル3階)
http://www.hello-mr.net/detail/?obj=39
講師:五番町法律事務所 水町雅子弁護士
残席あとわずかです。お申込みはJNSA事務局までお願いします。
★「SECCON 2014 全国大会」を2/7(土)〜2/8(日)に開催します。
CTF決勝戦併催のカンファレンスは一般の方もご参加いただけます。
事前登録制/参加費無料です。
スケジュール、参加登録は以下URLをご覧ください。
http://2014.seccon.jp/finals.html
★1月20日に開催しましたJNSA主催シンポジウム「NSF2015」は盛況のうちに終了いたしました。
多くの方々のご参加ありがとうございました。
講演資料を公開していますので、ぜひご覧ください。
https://www.jnsa.org/seminar/nsf/2015/pro.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第53号
発信日:2015年1月30日
発行: JNSA事務局
*************************************