• TOP
  • 特集一覧
  • IoTで変わる製造業 ~『安全な製品』の基準を再考する~
2019/08/09

IoTで変わる製造業 ~『安全な製品』の基準を再考する~

メイン画像

1970年に出版され一大ベストセラーとなった書籍『日本人とユダヤ人』(※1)の中に、「日本人は、安全と水は無料で手に入ると思い込んでいる」という一節があります。非常に有名なフレーズなので、耳にしたことがある人も多いのではないでしょうか。フレーズが意味するところの真偽はさておき、少なくとも2019年を生きる我々の実感からは少しズレがあるように思えます。ペットボトルに入ったミネラルウォーターを買うことが普通になっている世の中では、水がタダであるという実感は少ないでしょう。


では『安全』はどうでしょうか?グローバル化とデジタル化が進む現代では、『安全な製品』に対する考え方も取り組みも、昔とは少し変わっているようです。今回のコラムでは、『製品の安全性』に焦点を当て、IoT時代に適したプロダクトセキュリティの考え方を模索していきたいと思います。

そもそも『安全』とは何か?


まずは『安全』を定義してみましょう。『安全』という概念を考える上で参考になる「ISO/IECガイド51」という指針があります。この指針は、製品、プロセス、サービス及びシステム等の安全に関する規格を作成するためのガイドラインとして、ISO(国際標準化機構)とIEC(国際電気標準会議)とが共同で発行しているもので、『安全』『リスク』といった用語を以下のように定義しています。

国際標準化機構 (ISO) /国際電気標準会議 (IEC) ガイド51の用語定義

国際標準化機構 (ISO) /国際電気標準会議 (IEC) ガイド51の用語定義

ここで注目すべきは、「安全=許容不可能なリスクがない状態」であるというところです。随分と遠回しな言い方ですが、このような定義になるのには理由があります。


安全とは『状態』である

私たちは、比較的簡単に『危険なもの』の具体例を思い浮かべることができます。例えば、日常生活における危険は交通事故や地震、登山をするときに気を付けるのは雪崩や野生動物、IT管理者にとってはランサムウェア標的型攻撃などがそうでしょう。

一方で、『安全なもの』についてはどうでしょうか?…不思議なことに、なかなか思いつきません。『危険なもの』はたくさん挙げられるのに、『安全なもの』の具体例はなかなか思い浮かばない。つまり、安全とは「モノ」ではないということです。

このような理由から、私たちは『危険なものを許容できるレベルまで取り除いた状態』(※2)のことを『安全』と呼んでいます。日頃安全に使えているものでも、実はある程度の危険と隣り合わせだったりします。電車や自動車などを思い浮かべるとわかりやすいでしょう。私たちは意識的/無意識的に、自分たちにとって危険なものを見極め、それを自分たちが許容できるレベルに押さえ込む努力をしています。そして、この一連の努力を「安全対策」と呼んでいます。では、現代社会を生きる企業にとって、「危険なもの(=脅威)」とは何なのでしょうか?


デジタル化/IoT化に伴う脅威

『脅威』とは、「システムが保たれるべき状態を逸脱させる可能性を持つ要因」のことです(※3)。たとえば、人体というシステムにとって保たれるべき状態は『健康』であり、その健康を脅かす病原菌、不摂生、運動不足などが『脅威』となります。
同じことを企業についても考えてみましょう。企業にとっての健康とは、「滞りなく事業が継続できている」という状態です。そして脅威は、「事業の継続を妨げる可能性のある要因」のことです。

企業の事業活動は、その企業が持つ資産(アセット)によって支えられています。固定・流動資産はもちろんのこと、従業員や時間も事業を行う上で大切な資産です。この資産を脅威から守ることが安全につながります。

そして今はデジタル化の時代。つまり、企業の資産がデジタル的に処理・保管・利用されている時代です。守るべきものがデジタル化した結果、それに対する脅威もデジタル化されています。サイバー攻撃です。その攻撃はほとんどの場合、明確な目的を伴って実行されるため、時間を追うごとに攻撃の「質」が向上していきます。

また、接続機能を持ったスマートデバイスが次々と生産・流通・利用されるIoT社会においては、サイバー攻撃の対象となる機器の絶対数が増えていくだけでなく、攻撃者にとってのデジタルインフラが整備されていくことになるため、攻撃の「量」も増えていくことになります。

ここでISO/IECガイドの『リスク』の定義を見てみると、リスクとは「危害の発生確率及びその危害の度合いの組み合わせ」とあります。つまり、リスクとは、脅威の「量」と「質」の掛け算である。ということは、デジタル化で攻撃の「量」が増え、IoTで攻撃の「質」も上がる現代は、企業事業継続のリスクが上がってしまう時代とも読み取れます。


安全を『アップデート』せよ

テクノロジーの進化に合わせて、脅威も進化していきます。テクノロジーの恩恵は誰にでも平等にもたらされるので、攻撃者の成熟は止められないと思ったほうがよいでしょう。だからこそ、サイバー攻撃に対する安全対策(=サイバーセキュリティ)も時間とともに進化していく必要があります。

特に、世の中に製品を送り出していく製造業には「攻撃の進化を想定した対応」が求められます。それはつまるところ、「昨日まで存在していなかった脅威に対応する」ということであり、動的に進化し続ける敵に立ち向かうために、出荷後も製品をアップデートし続ける仕組みが前提になるということです。

アプリケーションやOSなどのソフトウェアには、時として意図しない動きをしたり、外から侵入されやすい弱点が見つかったりするときがあります。こういった弱点は『脆弱性』と呼ばれており、サイバー犯罪者に悪用される危険性があります。そして、今はデジタル化とIoTの時代。脆弱性は、もはやソフトウェアだけの問題ではありません。スマートデバイスが接続機能を持つ以上、そのデバイスにはデジタル化されたリスクが存在しています。

そのリスクを最小化するために、脆弱性が発覚した時の対応プロセス(※4)を整えておく必要があります。サイバー犯罪の脅威が顕在化するに連れて、利用者もリスクのある製品(=脆弱性をはらんでいる製品)を選択しなくなることは容易に想像できます。出荷後のアップデートを初めから想定して設計・製造・流通を行うということは、IoT時代における製品価値の一軸になると言えるでしょう。


参考文献


※1 「日本人とユダヤ人」(1970年)山本七平
※2 「具体的な『安全』は存在するのでしょうか?」安全を追求するJALの機長が語る驚きの事実と絶対安全に向けたJALの取り組みとは?
※3 「経営とサイバーセキュリティ デジタルレジリエンシー」(2018年)横浜信一
※4 「トレンドマイクロ、IoTデバイスメーカのリスク対応を支援する新プログラムを開始 ~脆弱性に関するZDIの専門性を通じて繋がる世界を安全に~」(2018年)

石原 陽平  YOHEI ISHIHARA

石原 陽平(いしはら ようへい)

トレンドマイクロ株式会社

マーケティングコミュニケーションマネージャー

カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop