【コラム】 自動車セキュリティ、「先セキュリティ、後の連結(Secure First、then Connect)」原則
「Automotive World 2017」展示会が1月18日から01月20日まで3日間東京のビッグサイト展示場で開催された。「カーエレクトロニクス技術展(CAR-ELE JAPAN)」、「EV・HEV駆動システム技術展(EV JAPAN)」、クルマの軽量化技術展(Weight Reduction Expo)」、「コネクティッドカーEXPO(Connected Car JAPAN)」、「自動車部品&加工EXPO(カーメカJAPAN)」などの5つの分野の技術展が開かれ、961社が参加した大規模のイベントだ。
自動車というのは、本当に興味深い事物である。自動車をただ人工的な動力で、回転する車輪を路面と摩擦させて、その反作用で移動する交通手段の意味だけで理解する人は多分いないだろう。自動車は、「私のプライド!」という言葉は、人たちが自動車という事物に対して事物自体の意味をはるかに超えるとても複雑な心理を反映しているわけだ。それで、自動車はその時代を代表するあらゆる技術が最優先的に適用される当代技術のバロメーターと言える。だから、自動車技術展は関心の的になるしかないイベントだ。
先に目を虜にしたテーマは「素材」だった。特に、軽量化研究開発のレベルがもうかなり円熟して、前には何だかおもちゃのように感じられたポリカーボネート(Polycarbonate)、炭素繊維強化プラスチック(CFRP、Carbon Fiber Reinforced Plastic)などプラスチック素材がもうおもちゃのように見えなかった。マグネシウムそしてチタン合金、セラミックなどのすでに慣れていると思った素材も以前とは違って、少しは新しい感じだった。車体だけでなく、各種部品の軽量化の試みも目覚ましい発展を果たしていて、技術者のこれまでの研究・開発努力を拍手を送らざるをえなかった。
そうだが、最も大きな変化はやはりITだ。よく見たり聞いたりもするが、何だかちょっと遠くのもののように感じていた「コネクティッド・カー(Connected Car)」という言葉も今は不慣れではない。これが当然のことになったのは、今生産される自動車一台に入るプログラミングコードは、私たちがよく使っているPC運営体制(OS、Operating System)のコードよりはるかに多くて、それはどんどん多くなっている。すでに、自動車は完全なITデバイスである。「コネクティッドカー」とは、そのITデバイスがお互いに、そしてインフラとつながることに過ぎない。未来のことではなく現在のことだ。
他にも面白いと思ったのは、今までのイベントに比べて、参観客の質問が驚くほど活発だったことだ。これもまた自動車という対象に対した高い関心のためだろう。自動車セキュリティ関連のブースにいるのに、あえて人たちが通りすぎるところまで出て「これを見てください!」と騒がなくても、自発的に訪れて、質問している参観客がとても多かった。それで、最も重要と考えられる質問3つとそれに対する答えを通じて、自動車セキュリティ、ひいてはIoTセキュリティの最も根本的で源泉的な疑問を解消してみよう。
Q1:自動車セキュリティは、既存のITセキュリティとどのような点で、互いに違うの?
自動車セキュリティが「IoT(Internet of Things)セキュリティ」であるため、違う。自動車セキュリティは、IoTセキュリティの脈絡と見なければならない。ところが、IoTも結局はITの一部なので、IoTの反対概念として、既存のインターネット使用を「IoM(Internet of Man)」と呼ぶことにしよう。
IoTとIoMの決定的な違いは、あまりにも当然な言葉だが、人がいるか、いないかの違いである。人がコンピュータを使う際、動作の土台はユーザーの自律性である。コンピューターはとても一般的な計算能力を提供して、人はコンピュータの計算能力を活用し、自分がしたい作業を自由に遂行する。したがって、コンピューターは「一般目的(General Purpose)」を達成するための道具である。それで、コンピューターを作る時も一般的に、つまり機能の制限を最小限において設計する。
人がインターネットを使用する時もこれは同様だ。たくさんの人たちはそれぞれ違う目的でインターネットを使うため、インターネットサービスもまた一般的な目的に合致する方式で作られる。インターネットサービス事業者は、さらに多くさらに広く拡張される「連結性(Connectivity)」を最優先の価値と思う。インターネットサービスが成功するためにはできるだけ多くの人が必要だから。それでIoM環境もまたコンピュータと同様に、一般的に、つまり機能の制限を最小限において設計する。
しかし、拡張だけを続けるからと言って、事業が必ず成功するわけではない。どんな方法を通じても、結局はお金を儲けなければならない。そのような事業的な必要により、ユーザ認証などの一般性制限が発生する。あるユーザが誰なのかなどを分かって、本当にその人であろうか確認しなければならず、取引が起きるためには、電子商取引システムも備えなければならない。ここから各種のセキュリティ措置の必要が生まれる。このように一応は連結からした後、連結性を高めた上でセキュリティ措置を適用するIoMは、「先連結、後のセキュリティ(Connect First then Secure)」方式と言える。
ところが、人ではなく事物がインターネットに接続するIoT時代が到来した。IoTとIoMの最も大きな違いは、インターネットに接続する事物は人ではないという点だ。人は前述した「一般目的」に従って行動するが、事物は「特殊目的(Special Purpose)」を達成するための道具だ。ある事物がどのような仕事をする。もし、事物がその仕事ではない他の仕事をすることになると危険なので、そもそも付与された特殊な目的にだけ忠実に動作するように設計しなければならない。誤動作する場合は、人の安全を脅威することもできるし、この頃盛んに研究されているモノ間の電子商取引が実用化されれば、事物の主人の立場では「私の車がエンジンオイルは買わなくて、洗濯洗剤を10個も買ったよ!」という非常に荒唐無稽なことが起こる可能性もある。IoTをIoMを見るように見たら、実際に起きうる事だ。
同じ理由で、物事をインターネットに連結する時も、特殊目的に充実しなければならない。そのために物事がインターネットに接続される時は事前にすでに完全なセキュリティを備えなければならない。これは、IoTの「先セキュリティ、後の連結(Secure First, then Connect)」原則だ。些細に見えるが、とても重要な違いがある。IoMの「先連結、後セキュリティ(Connect First then Secure)」は方式だが、IoTの「先セキュリティ、後の連結(Secure First, then Connect)」は原則だ。一貫性を持って守らなければならない基本的なルールという意味だ。言い換えれば、IoMは「先セキュリティ、後の連結(Secure First, then Connect)」方式で設計することができるし、お薦めすべきことだが、IoTは「先連結、後セキュリティ(Connect First then Secure)」方式で設計してはいけない。
これは、事物の連結とその連結を通じて収集した情報をもとにしたサービスを提供するのがIoTの当初の目的であるためでもある。事物を敢えてインターネットに繋ぐ理由が何か。冷蔵庫のドアに付いているスクリーンでインターネットをするため?違う。事物をインターネットに接続して、これを通じて収集したデータをサーバが受けて分析し、このようなデータマイニング作業を通じて抽出した有意義な情報をサービスで提供するためである。この時、事物が収集して、サーバに送るデーターが汚染されてはならない。
間違った情報をもとにしたサービスは危険にさらされかねないためだ。そのためにでも事物はインターネットとの連結に先立ち、完全なセキュリティをまず備えなければならないのだ。
Q2:IoTセキュリティにシグネチャ方式ではなく、ロジカル方式を適用しなければならない理由とは?
上のQ1で調べた事物の「特殊目的(Special Purpose)」のためである。
従来のIoM環境のコンピューターとインターネットは、その使用目的が一般的であるため汎用(Versatile)で設計される。道具を使って、どんな仕事をするかを人が決定するため、ユーザーがどんな仕事もできるようにとても一般的に作られる。したがって、十分な一般性と十分な連結性を確保するためにリスクが高くても開放された構造を選ぶしかない。すべての電算システムは、「アプリケーション/システム/ネットワーク」という3つの階層で構成されるが、一般性と連結性確保のため、その階層はお互いに分離されなければならず、したがって、セキュリティ措置も3階層にそれぞれ適用しなければならなかった。それでセキュリティ分野を分類する時、「ネットワークセキュリティ」、「システムセキュリティ」、「アプリケーションセキュリティ」のように分けているのだ。
しかし、IoTセキュリティは最初から「特殊目的」だけに充実するように作られた道具のセキュリティだ。つまり、上の3階層を別途で設計し、組み合わせてそれぞれ別途のセキュリティ措置を取る従来の方式ではなく、3階層全体を単一の道具として設計しなければならない。つまり、ネットワーク/システム/アプリケーションセキュリティをお互い違う分野に分けて考えるのではなく、一つの「IoTデバイス」に対する総体的セキュリティとして理解しなければならないのだ。そうしなければ、それはセキュリティを問う前に、そもそも道具自体としても危険なのだ。重ねて強調するが、IoTデバイスは、最初に与えられた特殊な目的だけに充実するように設計しなければならない。
IoMセキュリティとIoTセキュリティ、異なる二つの概念の違いを正確に理解しなければ、IoT環境に対してIoMセキュリティ方法論をそのまま適用するミスを犯すようになる。ありふれた状況を通じてどんなミスなのかを調べてみよう。
ある自動車メーカーがインターネットに繋がる自動車を作る。セキュリティ危険性検査をセキュリティ会社に依頼する。セキュリティ会社は、従来のIoMセキュリティ方法論により、各種脆弱性テストをして、報告書を提出して、自動車メーカーはその報告書によって、脆弱性を防ぐセキュリティパッチを追加して、新たな脅威が現れるまでは「暫定的に安全だ」と判断する。これが現在一般的に行う自動車セキュリティ措置だ。しかし、これはそもそも間違ったのだ。自動車、ひいてはIoTセキュリティは、そもそも、脆弱性というのがあってはいけない。
前に述べたように、インターネットにつながる物は最初から特殊な目的だけに充実するように設計されなければならない。そのため、ロジカル方式がシグネチャ方式より優秀であったり、効率的であるため、もっと適合しているわけではなく、最初のIoTセキュリティは、ロジカル方式でなければならないのだ。そして、その「ロジック(Logic)」は、当該「IoTデバイス」に対する総体的なセキュリティの一部として動作しなければならない。
Q3:自動車自体のセキュリティが重要なのか、交通インフラのセキュリティが重要なのか。
これもまたQ1で調べてみた「先セキュリティ、後の連結(Secure First, then Connect)」原則によるIoTセキュリティの特殊性の問題だ。IoM環境ではユーザーがインターネットを使用しながら、身元認証が必要な際、ユーザ認証などのセキュリティ措置をとる。これは、個人のプライバシー保護措置を身元が露出される部分について選択的・集中的にできるという意味だ。しかし、IoT環境ではIoT環境だけの特殊なセキュリティ措置の必要が追加的に発生する。「先セキュリティ、後の連結(Secure First, then Connect)」原則によって、事物がインターネットに接続する前に完全な認証手続きが発生するため、その事物を使用するユーザーのプライバシーが常に露出される危険がある。自動車を例として挙げれば、車両の位置、したがって、運転者の位置が常に露出することだ。さらに、自動車は単独で存在するのではなく、公共施設の交通インフラと直接連結するためにPKI(Public Key Infrastructure)など公的認証手続きを経なければならないため、プライバシー問題はより深刻になる。
そのため、自動車自体のセキュリティと交通インフラのセキュリティはどれがもっと重要なのかを追及すべきことではなく、自動車とインフラは概念上、同等の重要度を持ったまま総体的なセキュリティを達成するように安全に設計されなければならない。
自動車セキュリティの特殊性を例として調べてみよう。自動車は、インターネットに接続された事物として固有のIDを持つ。「先セキュリティ、後の連結(Secure First, then Connect)」原則によって、インターネットに接続するときは、既に認証が完了した状態だ。すなわち、その自動車は、走行中にその位置が常にさらされることになる。運転者が任意にインターネットの連結を切ったら? いや、交通インフラは自動車のインターネット連結を前提として交通状況を統制したり管理するので、それはできない。このように自動車そして運転者の位置情報、つまりプライバシーがやたらに露出されてもいいのか。この時点で、従来のIoMと違うIoTだけのセキュリティ方法の必要が追加的に発生する。上のプライバシー侵害問題を解決するため、自動車は複数のIDを持っていて、走行中にこれを定期的に交替し、これを通じて交通インフラはその自動車を交通の単位として、認識するようになる。そんな方法を通じて、IoTの「先セキュリティ、後の連結(Secure First, then Connect)」状態でも匿名性を追加的に付与することで、プライバシーを保護できる。
このように、近未来の交通環境では自動車自体のセキュリティと交通インフラのセキュリティがお互いに完全な相互作用を成し遂げなければならないため、どれがもっと重要だと言うことができない。そして、自動車自体のKMS(Key Management System)そして交通インフラのPKIの有機的な結合など、自動車セキュリティ技術の研究開発は、自動車とインフラ両方に対して、総体的で総合的に行なわれなければならない。これは、自動車セキュリティがお互いに異なる各種のセキュリティツールの組合ではなく、完全な「トータルソリューション」そして「フルパッケージ(Full Package)」として開発されなければならない理由でもある。
先セキュリティ、後の連結(Secure First, then Connect)原則
Q1からQ3までの内容をまとめると、結局すべてがIoTセキュリティの「先セキュリティ、後の連結(Secure First, then Connect)」原則に帰結される。これは、IoM時代からIoT時代に移動する過程で発生するセキュリティパラダイムの変化だ。複雑な話ではない。
要すると、
「事物をインターネットに連結する前に、セキュリティからしなければならない。」