無縫地帯

「サイバー対策安心マークみたいなものを信用して家電製品を買える時代」はくるのだろうか

総務省が進めているサイバー対策促進に関する政策の骨子が見えてきていますが、サイバー攻撃への対策が行われている目安として認証制度が検討されているようで、気になりましたので周辺の議論をまとめてみました。

しばらく前になりますが、総務省がITセキュリティ促進を目的としてIT機器の認証制度などを検討中であるという報道がありました。
このところ、サイバーセキュリティ周りの官民連携や認証制度の実効性ある構築は急務になっていることもあり、どうしてもこのような動きが話題になりやすい環境にあるのは間違いのないところです。

総務省、サイバー対策促進積極対応企業認証し税優遇(SankeiBiz 17/10/4)

総務省は3日、サイバー攻撃への備えを民間企業に促す総合対策を発表した。
(中略)
認証マークは来年度の導入を目指す。サイバー攻撃に強いシステム構築などを進める企業を対象に、法人税や所得税を優遇する。
SankeiBiz
経済的なことを理由にセキュリティ対策に熱心でない企業が少なくないという話は以前からよく耳にしたりしますので、こうした形でセキュリティ施策導入のハードルをいくらかでも下げるのは良いことだと思います。さはさりながら、情報機器から家電までのハード全般がネットにぶら下がるという理由で、総務省が「安全である」と認証すればそれで本当に安全が保障できるのかといえばそれはちょっと無理があるような気がしておりまして、これは一体どこまで本気なんだろうと訝しんでおりました。そういう心配をよそに、この計画は着々と進んでいたようです。

サイバー防衛にお墨付き、家電やPCに認証マーク(日本経済新聞 17/12/9)

家電やパソコンの業界団体が2018年度から、サイバー攻撃に備える機器に認証マークを貼る。ネットとつながる洗濯機や冷蔵庫、ルーターなどが対象。
(中略)
業界ごとの自主的な認証でメーカー各社に添付を強制しないが、マークにより消費者の安心を高める。経産省などは自動車や医療機器、ドローン(小型無人機)への活用も可能とみている。日本経済新聞
そうですか。

こちらの日経記事を読む限り、認証マーク施策を推進している中心はJEMAやJEITAといった業界団体であるようですが、経産省や総務省もそうした考え方に賛同する方向のようです。

あくまでも自主的な認証ということであり、現在対象を想定されている製品にしてもルーターはともかくとして「ネットとつながる洗濯機や冷蔵庫」の安全性を謳われてもあまり役に立たないというか、よく分かってないユーザーに気休めの安心感を持たせるためだけに作られた、メーカーにとって都合の良い宣伝アピール用マークにならないことを祈るばかりです。

IoT機器のセキュリティで気になるのは、結局肝心のネットに接続する機能部分についてはハードメーカーも社外のプログラムをそのままライセンスで採用することが少なくなく、そのプログラムにもし問題が発生した場合にはメーカー自らが手を打てることはあまりなかったりする可能性があるという点です。そうした事情については以下の記事などが参考になります。

感染機器は数十万台以上?IoTがサイバー攻撃者に狙われる理由(THE ZERO/ONE 17/12/11)

特にIoT機器のように、流行の移り変わりが激しく、なおかつ低価格製品では、スクラッチ開発をしていたら開発費用がかかり採算に合わない。そこで、他社が開発をしたキットやプラットフォームなどを購入して、その上で開発を行い、自社の独自性を追加していくということが一般的になっている。
(中略)
このようなIoT機器のキット、プラットフォームを開発しているのは、中国や台湾のメーカーが多い。日本のメーカーは、このような企業から提供を受けて、自社製品を開発している。そのため、優秀なプラットフォームは複数のメーカーに提供されることになる。「その大元のプラットフォームに脆弱性が発見されると、それを利用している複数の製品に、広範囲に影響するということが起こっています」。THE ZERO/ONE
当たり前のことなのですが、日本で売られるであろうハードは国内メーカーと言いながらも海外調達のものが数多くあるだけでなく、その中身で動いているプログラムもチップセットも自社製で自社OSによって動いているわけではありません。得体の知れない海外メーカーのモノをOEMで引っ張ってきて自社ブランドで売ることは普通に横行していることを考えると、その中身のネットセキュリティまで含めて認証をかけるといっても何が潜んでいるのかは事故が起きてみないと分からない部分はあります。

また、まったくの善意で様々な工夫を凝らしているプログラムが、後日それを逆手に取られ悪用されて大きなセキュリティホールになった場合や、企業買収や事業譲渡などでソフトウェア資産や開発状況がきちんと引き継がれず必要な対策が打たれないまま放置されるプログラムが稼働する場合など、認証したときは問題なくとも、後日大穴が開くことは容易に想像がつきます。

今のITを取り巻く実情を考えると、簡単にこの製品はサイバー攻撃に対して安全ですと「お墨付き」を与えるのはかなり勇気のいる行為に見えますが、当面必要なことだから問題には眼を瞑ってできる限りのことをやろうということなのでしょうか。ちょうど、この記事を書いているタイミングでもそれなりに影響の大きそうなセキュリティ問題が発覚しております。

TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来大手各社の製品に影響(ITmedia 17/12/14)

もっとも、こういう問題が発生した際に直ぐに対策を提供できるだけの実力と自信がある企業の製品だけにお墨付きが与えられるのでしょうから、必要以上に不安を覚えたり心配することはないのかもしれませんが、結局のところIoTの時代になったからと言って不必要にハードをネットにぶら下げたり通信させたりしないことの重要さを啓もうするほうが大事なんじゃないかとすら思います。

その意味では繰り返しになりますが、総務省以下お役所が一定のハードルをクリアしたというハードに対して「認定」することよりも、日々刻々変わるハードルを見極め適切な対処を取り続ける仕組みを構築することの方が、本来は求められていることではないかと思います。そんなことは百も承知だとは存じますが、それでもこういう議論ではなぜか見過ごされがちな代物ですので、まずはメンテナンスがしっかりとできる態勢にすることを義務付ける動きが出るといいなと考えるわけでございます、はい。