突然ですが皆さん、マイナンバーカードは作りましたか?
交付率は 2021 年 11 月時点で 約 4 割というニュースを見ました。 普及率を向上すべく、何か(キャッシュレス決済サービスなど)との紐づけをおこなうことでマイナポイントが付与される・・・という作戦も打たれました。ですが、本コラムでの着目点はそこではなく、マイナンバーカードに埋め込まれた IC チップについてです。
この IC チップには「電子証明書」が搭載されていることはご存知でしょうか?
(カード交付までの詳しい仕組みの話は省略しますが)このマイナンバーカードの持ち主が本人であるという証明をするため、どのような手続きを踏んで証明書が発行されているか。実際にマイナンバーカードを作られた方々であれば、その手続きをご存知かと思いますが、マイナンバーの交付には役所窓口に行く必要があります。そこで本人確認がおこなわれて初めてマイナンバーカードが発行されます。
しかしそれだけでは終わりません。このカードは 10 年後(未成年は5年後)に更新手続きが必要になります。個人とマイナンバー(ID)を紐づけるという部分が、手続き上でいかに重要になっているかがわかりますね。
パソコンなどの世界も含め、今までは個人と情報を紐づける仕組みとして、ID やアカウント、そして、それを利用出来るようにするパスワードが一般的でした。マイナンバーもパスワードをいくつか必要とします。
PC やスマートフォンでは、指紋や顔での本人確認方法も出てきました。その他にも、セーフティーな多要素認証の方法として、メール・SNS・PIN コードなど色々あります。が、結局の所は、パスコード解除の仕組みが最も一般的かと思われます。
現状では、先述のような多要素・多段階による認証によって防御壁の数を増やし、パスワード突破への難易度を上げることで不正アクセスを抑えているのです。
少し脱線しますが PPAP 問題というキーワードもありました。通常であればパスコードを何回か間違えるとロックが掛かる機構により総当たり攻撃(ブルートフォースアタック)を防ぐことが出来ます。しかし、PPAP 問題ではそれが出来ず(回数制限によるロックがかからず) 8 桁程度のパスワードでは英大文字小文字 + 数字でも 15 時間程度で解析できてしまうという zip パスワードの脆弱性の問題やメール盗聴などの問題点があります。
このようにヒトとモノやヒトとネットを考えた場合、多くのセキュリティ課題に対しては、今まで様々な “デジタル ID 方式” で守ろうとしてきた歴史があります。
さて、昨今の話題の一つである「IoT(Internet of Things)」についてはどうでしょうか。
「モノのインターネット」と訳されますが、言葉自体は 20 年以上前から存在していた言葉であり概念です。昔から「いつでもどこでもモノとモノが繋がる」という概念がありながらも、そこまで大きな話題になることはありませんでした。ここ数年で注目を集めるキーワードになってきておりますが、それでも皆さんが IoT を身近に感じることはまだまだ少ないかと思われます。
その原因として、テクノロジーを実現するために要する技術の高さとコストがネックになっていると考えられます。ここでいうテクノロジーとは、認証や証明、セキュリティなどに関する事柄を指します。
IoT という言葉が出てくる前には、M2M:Machine-to-Machine という用語も登場しました。実態としては IoT という括りにする前から一部ではおこなわれてきたことであり、技術難易度やコストおよびメリットに対して、例えば閉域網に閉じることでセキュリティの実装を省略し簡易化したり、目的の範囲を限定的にしたりすることで、IoT の概念を部分的に実現しているのが現状かと思われます。
ただこの手段では、環境的な制約や取得物の物量とコストの問題点などの課題があり、IoT が爆発的に増加する未来には上手く繋がっていないように思えます。しかし IoT への成長度については以下のような予測が立てられており「医療・産業・コンシューマ・自動車・宇宙航空」で高成長が見込まれているようです。
IoT の本定義では、収集されるデータは、例えばセンサーから取得するデータだけではなく、一般のユーザーがもつ端末が発信するようなデータも含まれています。今まで、機械同士が会話して成立したデータ、様々なデータを限定的に活用してきたフェーズからビッグデータとして解析・分析して、他のサービスへの活用やユーザーへのフィードバックを考えたとき、閉域でおこなえることや既存のインフラでおこなえることの限界が生まれます。そのため、インターネットという広大なインフラを活用しない手はありません。
しかし、そこでは前段でご説明した高い技術とコストとのビジネスバランスが取れるのかどうかがカギとなってきます。その中でもセキュリティに対してどの程度 IoT にコストを掛けられるのかが一番大きな争点になることは「ヒトとモノ」「ヒトとネット」の歩みを「モノとネット」に置き換えた場合の問題点として考えていく必要があります。
そして、大事なことは、「ヒト」であれば「ヒト」が多要素認証によって守れますが、「モノ」自体は一体どのようにして「モノ自身」を守るように出来るのか、ということです。「ヒト」向けに作られてきたデジタル ID は、そのまま「モノ」に適用できるのでしょうか。
「ヒト」の脆弱性については、例えばプリペイドカードを買わせる詐欺やいわゆる “オレオレ詐欺” など、「ヒト」の弱みに付け込んだ脆弱性があります。対して「モノ」にはハードウェアとソフトウェアがあり、そこに入る隙間として「モノ」へのログイン手段・パスワード手段、ソフトウェア脆弱性攻撃、電子的な物理攻撃などがあります。
従来の「モノ」の管理方法には、パスワードのハードコーディングなどがありますが、運用面で統一したオペレーションをおこなうために必要だった仕様であったかと思います。
仮にパスワードが更新出来るようになっていたとしても、攻撃されるリスク、乗っ取られるリスクはサービスポートを開けている限りリスクとして残ります。
まさか、IoT デバイス1台ずつ WAF(Web Application Firewall)や FW(Firewall)などの仕組みを入れるほどのリソースもコストもないでしょう。
そして、そのデバイスは本当に本物なのか。本当に正しいデータを吐き出しているのか。誰がそのデバイスを証明し、データの真正性を担保することが出来るのでしょうか。
「ヒト」であった場合は「ヒト・モノ・システム」という流れで証明されてきましたが、「モノ」の場合を考えたとき、「モノ・システム」で証明すると考えた場合にどうでしょうか。
従来の証明方法と同様に考えた場合に恐らくセキュリティコストの問題に再度ぶつかってしまいます。「モノ」のデジタル ID はどのような形であればビジネスに耐えうるでしょうか・・・。
ここでようやく登場となりますが、弊社の ”kusabi” は、IoT で大きなテーマとなっているセキュリティの部分で、コストを掛けずにモノの真正性を証明し、安全な IoT デバイスとして本来の目的に注力していただくための製品になっております。
そして、もうひとつ IoT での課題としては、大量のデバイスをどのようにコントロールするかという課題があります。弊社では “人” が介在することによる人的リスクや、有効期限管理による証明書の更新漏れリスクなどが内在する環境によって IoT デバイスがノーコントロールに陥ってしまう事態も危惧しています。
IoT に対して安全性が高く、デバイスに対してリソースに優しく、機密性もあり、追跡性もある中で、様々な条件に適用出来て、1 デバイスあたりのコストを抑える手段として ”kusabi” は考えられてきました。
そして ”kusabi”【IoT 向けデジタル ID】のコアを担っているのはブロックチェーンです。これは通常のデジタル証明書にはないメカニズムです。
公開鍵の格納だけではなく、格納情報に対してバリアブルな情報を格納することが可能になっております。デバイスの真正性に対し、より条件を付加することが出来るようになっており、様々な使い方が可能です。
また、ここではデバイス向けに表現したデジタル ID とお話しをしておりますが、kusabi は、PKI(Public Key Infrastructure) + ブロックチェーンを組み合わせた仕組みです。デバイスのファームウェアに対するデジタル ID としても利用できますし、鍵や証明書、ブロックチェーンの組み合わせ方次第では多要素的な多層防壁を作っていくことも可能です。
弊社では「IoT 化による社会的課題の解決」に対して「環境・リソース・セキュリティ」の IoT 課題の(一部分ではあるかもしれませんが)、コストや技術課題であるデジタル ID を提供することで、皆様の本来目指すべき IoT ビジネス課題に注力していただけるようにお力添えしたいと考えております。
IoT は今後、スマートシティやモノの自動化などで、いよいよインターネットが主戦場となってくるかと思います。攻撃者の巧みな悪さに対して、防衛者側の対応は待ったなしになってきております。
セキュリティは後から考えるのではなく、必須要素として捉えていただき、その上で、いかにコストを掛けないセキュリティを確実に実装していくか。アイビーシーは、これからの IoT 社会を創造し、皆様のお力になれればと思っております。
by DX・コンサルティング部 部長 夏堀 貴仁