【法務監査分科会】IoTセキュリティ関連法制の近時の動き
場所:ゲートシティ大崎 東京都南部労政会館
講師:湯淺 墾道 先生(情報セキュリティ大学院大学 学長補佐、情報セキュリティ研究科 教授、IDF理事)
米国カリフォルニア州で2020年から施行予定の「IoTセキュリティ法」を例に、日本におけるIoT関連法制についてご教授いただきました。
IoTはとっても便利だけど、反面、情報セキュリティのリスクもかなり深刻。
一般の方は殆どご存知ではないと思いますが、IoT機器のセキュリティ面では課題が山積みです。
例えば、IoTのデータ等はクラウド上に保管されるのがスタンダードになると思いますが、クラウドの性質上でデータの分散保管が起こりますし、そのうえ、データが保管される場所(どの国のどの場所にあるハードウェア)に保管されているのか、ユーザー側が把握することはできません。
そのためセキュリティの事故が発生したときに、証拠収集や保全が著しく困難になることが考えられます。
また、IoT機器はパソコンやスマホなどと比べて安価かつ低性能な仕様になりますので、端末レベルで高性能なセキュリティ機能を備えることは全く期待できませんし、ユーザー側がカスタマイズすることも難しいでしょう。
そうすると、ユーザー側でセキュリティを工夫できる部分は、唯一、ネットワーク(のゲートウェイ等)になるのではないかと思います。
しかしネットワークの管理にはそれなりの知識が必要であり、一般ユーザーがそれを不足なく実施できるとは思えません。
これらはほんの一例で、ほかにも様々な問題があります。
もしこのような状態のままIoTが普及すると、サイバー犯罪が大量発生する危険性が高く、かつその影響の範囲が恐ろしく広範囲に及ぶことが予見されます。
その辺り、ベンダーやプロバイダーがどのようにして課題をクリアしていくのか、今後の動向がとても気になります。