• TOP
  • 特集一覧
  • ブロックチェーンはIoTセキュリティの救世主となり得るか?
2018/07/27

ブロックチェーンはIoTセキュリティの救世主となり得るか?

メイン画像

IoTの世界におけるサイバー攻撃は、ますます大きな問題となってきている中、IoTのエコシステム全体の安全性に関する懸念は既に周知の事実であり、IoTのセキュリティ懸念を解消できる実効性のあるソリューションが求められています。ブロックチェーンの技術は、その1つとなり得るかもしれません。ブロックチェーンは、発展途上の技術であるものの、中央集権型の管理によって、単一のセキュリティ障害点からIoTデバイスが侵害されるリスクを軽減し、IoTの実装にさらなる拡張性を持たせる可能性を秘めています。

さまざまなIoTデバイスへの攻撃はもとより、IP監視カメラが侵害されIoTボットの一部となり、DDoS (分散型サービス拒否, distributed denial-of-service) 攻撃に加担するなど、IoTの世界におけるサイバー攻撃は、ますます大きな問題となってきています。インターネットに接続する膨大なデバイス、およびこれらのデバイスがつながるIoTのエコシステム全体の安全性に関する懸念は既に周知の事実であり、IoTのセキュリティ懸念を解消できる実効性のあるソリューションが求められています。

そのような中で、「ブロックチェーン」の技術は、その1つとなり得るかもしれません。ブロックチェーンは、発展途上の技術であるものの、中央集権型の管理によって、単一のセキュリティ障害点からIoTデバイスが侵害されるリスクを軽減し、IoTの実装にさらなる拡張性を持たせる可能性を秘めています。そして、さまざまな方法でIoTネットワークを保護することが期待されています。例えば、ブロックチェーンが採用する「Proof of Work(PoW)」と呼ばれるコンセンサスアルゴリズムを活用し、ネットワーク上の不審な挙動や通常とは異なる振る舞いをするノードに対して参加者間で検証し合意形成した後、隔離することなどが考えられます。

ブロックチェーンがIoTにもたらす効果とは

過去数十年にわたり、一般家庭や企業のネットワークだけでなく、交通システムや都市システムにおいても膨大なデバイスがインターネットを介してつながりIoTを拡大してきました。一方で、この10年間で発展してきたブロックチェーンは、暗号化技術などを用いた分散型台帳技術を通じ、ビジネスモデルに大変革をもたらしました。ブロックチェーンにおける台帳は不正開封防止機能を備え、記録を即時作成するように設計されています。IoTとブロックチェーンが組み合わさることで、ブロックチェーンはIoTデバイスや関連の処理に対して検証可能かつ安全な記録方法を提供することになるでしょう。

ブロックチェーンは、各データの削除あるいは修正などが記録される分散型台帳として機能します。これらの記録は、ブロックと呼ばれるエントリに格納され、生成された「ブロック」は時系列に沿って「連鎖」するデータ構造となっていることからブロックチェーンとよばれます。個々のブロック内の取引記録にはデジタル署名が付与されており、更新および削除することはできません。ブロックチェーンは、上述のとおり、分散型の管理を行うため、理論上、脆弱なデバイスに対する誤情報の入力やネットワーク妨害による攻撃を防ぐことができると考えられます。

近年のIoTを狙う攻撃では一度に複数のIoTデバイスに影響を与えるDDoS攻撃が頻繁に確認されていますが、ブロックチェーンは、参加者が分散してデータを保持していることから単一のセキュリティ障害点がなく、こうした攻撃手法のリスクを軽減することが可能です。つまりある攻撃により特定のデバイスが停止しても、他のデバイスがその障害の影響を受ける可能性はほぼなく、障害への耐性が強くなります。トレンドマイクロは、「Securing Smart Cities:10-Step Cybersecurity Checklist for Smart Cities」で既に言及していますが、この可用性が各サービス、特に重要なシステムへのコネクティビティや機能の維持において極めて重要となります。

ブロックチェーン技術を利用することで、暗号化技術が提供されるため、その他のIoTデバイスとより安全な通信を行うことができ、最大の懸念事項であるプライバシーにも関わるIoT利用時の匿名性が確保できます。また、IoTの利用時は、潜在的な脆弱性を悪用したデバイスへの攻撃を防ぐために、デバイスの監視や適切なタイミングでのセキュリティ更新の適用も求められます。

図1. ブロックチェーンを採用することでIoTにもたらされる効果例

図1. ブロックチェーンを採用することでIoTにもたらされる効果

ブロックチェーンとIoTの組み合わせにより、各ネットワークの監視の課題に対処できることが期待されます。例えば、あるサプライチェーン事業でブロックチェーン技術が採用された場合、複数の参加者による各取引は、変更不可能かつ透明性ある記録を通じて管理され、こうした記録によりサプライチェーン内のデータ、および実際の商品が追跡されます。そして万が一不審な挙動が確認された場合は、ブロックチェーン技術により問題の箇所を特定することができ、業務上直ちに措置を講じることが可能となります。また、仲介者不在のため、業務コストを軽減することも期待できます。

IoTにおけるブロックチェーンの利用例

ブロックチェーンは、ビットコインといった仮想通貨を支えるための分散型台帳技術だけに留まらず、活用されていくでしょう。実際のところ、この技術は既にさまざまな業界で採用され始めています。小売業では、サプライチェーンにおける各商品の移動の安全性かつ簡素化を実現し、製薬業界においては、契約、臨床試験、医薬品などの信用性を保証します。このように各業界でブロックチェーンが適用されれば、製品およびサービスはより入念に管理されることとなります。

IoT分野でのブロックチェーン活用が注目されているのは、既に説明したとおりで、なかでも産業用IoT(Industrial Internet of Things、IIoT)においてブロックチェーンによるセキュリティ保護を実現するプラットフォームが登場しています。現時点においてIIoTでは業界初かつ唯一とされているこのブロックチェーン保護プラットフォームは、より多くの参加者間の合意形成やシステム上の冗長性を提供し、IoTが抱えるさまざまな攻撃リスクへの対処を試みます。また、ブロックチェーンを活用した技術の開発および商業化を促進し、IoTエコシステムの改革を進めることも期待されています。

IoTにおけるブロックチェーン活用の課題

IoT分野でのブロックチェーン活用は勢いを増していますが、全く課題がないわけではありません。その1つがブロックチェーンのキーコンセプトであるチェーンとして構築される一連の取引です。チェーンは、それ以前の取引の履歴を参照した上で積み上げられることから、ブロックと呼ばれます。各ブロック生成には、十分なコンピュータの処理能力、および一定の処理時間が必要となります。これらのブロック生成に必要な条件は、ブロック改ざんを防ぐことにもなり、IoTにおけるセキュリティにとっても理想といえるでしょう。

IoTを保護するためのブロックチェーンの維持にあたっては、十分なコンピュータ処理能力を備えること、また一定時間内にできる情報処理量が限られていることから、リアルタイム性を重視するシステムなどでの利用においては、現状課題が残ることを踏まえておくべきでしょう。

また、ブロックチェーンに関するセキュリティリスクを以下の観点で分類したレポートも、すでにリサーチャによって公開されています。

・アクセシビリティ:攻撃者は、サービス拒否(Denial of Service、DoS)攻撃を実行したり、クラウドストレージを乗っ取ったりすることで、利用者がデータあるいはサービスにアクセスできない状態を作り出すことを恐喝の材料とする恐れがある

・匿名性:匿名取引に対して、公開情報との関連性を確認することで、参加者を特定する恐れがある

・認証およびアクセス制御:正規の参加者になりすまし、データにアクセスする恐れがある(ただし、ブロックチェーン上の取引は全て記録、検証されるため、不正行為は特定可能と考えられる)

なお、トレンドマイクロは、「2018年セキュリティ脅威予測」において、ブロックチェーンなどの技術が侵害されるという予測をしています。これは実際、仮想通貨「Ether (ETH) 」を扱う投資ファンド「The DAO」が ハッキングされた事例で既に実証されています。ブロックチェーン技術の長所の1つは、取引すべてが検証および記録され、変更不可能であることですが、潜在的な脆弱性の悪用などにより、こうした前提が覆される可能性は、あらゆる新技術に対して想定されます。

セキュリティ確保に必要な対策とは

ブロックチェーン技術がIoTに適切に導入されれば、多大な恩恵を得られるでしょう。とはいえ、前述のリスクも想定に入れた検討が継続して必要です。IoTでのブロックチェーン活用には今少し時間がかかると考えられます。

今後、ブロックチェーンをはじめ、様々な技術革新による単一セキュリティ障害点の回避が可能となったとしても、IoTにおける確実な安全策のひとつは、全てのコネクテッドデバイスにセキュリティ対策を施すことです。また、デバイスに対する稼働停止を避けた適切なタイミングでのセキュリティ更新の適用といった対策以外にも、予期しない侵入やネットワーク侵害から自身のネットワークを保護するためにゲートウェイからエンドポイントまでエンドツーエンドを守る多層防御も有効でしょう。

現状のIoTのセキュリティ確保にあたっては、他にも以下のベストプラクティスを推奨します。

・初期設定の認証情報の変更:IoTボット「MIRAI」によるDDoS攻撃では、デバイスの侵入に際して、特定のユーザIDおよびパスワードの組み合わせが突かれました。初期設定の認証情報は必ず変更し、大文字、小文字、数字、特殊文字を組み合わせた複雑な文字列で作成するように心がけてください。

・ゲートウェイのセキュリティ確保の徹底:インターネットとの出入り口となるゲートウェイのセキュリティが脆弱であることで、そのネットワークにつながるすべてのデバイスがセキュリティ上脆弱な状態となります。デバイスのプライバシーやセキュリティを維持しながら、利便性を確保するための手段の一つとして、インターネットゲートウェイ(一般家庭であれば、ルータなど)のセキュリティ管理は必須です。

・セキュリティを念頭においた各デバイスの設定管理:各デバイスのセキュリティ初期設定を確認し、必要に応じて変更してください。また、デバイスに暗号化機能が備わっているかなど、デバイスの機能や仕組みについても十分把握し、適切に有効化あるいは設定の変更をしてください。

・ネットワーク上のトラフィックの監視:ネットワーク上のトラフィックを適切かつ積極的に監視することで不正な挙動をいち早く確認し対策を講じることが可能となります。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop