IoTでは、セキュリティは主役になれない
はじめに
組込みシステムのシニアエンジニアをしているNoricです。四半世紀にわたって組込みシステムに携わり、数年前からはIoT(Internet of Things)関連の仕事をしています。今回は、そんなエンジニアとして最近感じている「そもそもの話」を共有したいと思います。
IoTでは、セキュリティは主役になれない
結論から言うと、セキュリティだけでは製品は売れない――これが私の率直な感想です。
とはいえ、IoTの世界においてセキュリティは不可欠です。特に近年では、サイバーセキュリティに関する法規対応が求められ、特に欧州では罰則付きの「欧州サイバーレジリエンス法案(CRA)」が施行間近となり、組込みシステム業界でも大きな話題になっています。
数年前までは、展示会でネット接続の価値をアピールしたIoT製品が主流でしたが、今年(2024年)はサイバーセキュリティ対策に関する製品やサービスが目立つようになりました。CRAでは、ネットワーク接続を前提とした全てのデジタル製品に厳しい要件が課せられるため、まるで「黒船」がやってきたかのような衝撃を覚えます。
それでも、セキュリティの重要性だけでは、顧客はなかなか振り向いてくれません。興味は持たれても、それが購入の決め手になることは少ないのです。
サイバーセキュリティ対策の必要性という「風」は確かに吹いていると感じますが、どうして顧客は「セキュリティ」に強い関心を持たないのでしょうか。今回はその理由について、セキュリティは「主役」ではない観点で述べたいと思います。
そもそも、セキュリティは「主役」ではない
これはIoTに関するソリューションビジネスの話であり、セキュリティ技術のエンジニアリング議論ではありません。
ソリューションビジネスとは、顧客の課題やニーズに対して製品やサービスを組み合わせ、最適な解決策を提供するビジネスモデルです。顧客の技術的なハードルを解決し、製品をより早く市場に投入できるよう支援することが私たちの最大のミッションです。つまり、顧客から「これは良い!」と言ってもらえるほど、提供するソリューションの価値が上がり、私たちソリューション提供者のモチベーションにもつながります。
セキュリティに関しては、顧客が必ず何らかの課題を抱えているだろうと予想していました。なぜなら、彼らは製品技術のプロフェッショナルであっても、セキュリティをその製品に適用する経験が少なく、何をどうすれば良いのか分からないだろうと考えたからです。
しかし、セキュリティソリューションを提案してみると、意外にも反応が薄く、手応えを感じませんでした。むしろ、顧客は消費電流の性能やコストメリットなど、別の機能や話題に関心を持ち、セキュリティが決定的なポイントにはならなかったのです。結果として、セキュリティソリューションは呼び水にはなりましたが、期待していたほどの反響や動きは見られませんでした。
振り返ってみると、セキュリティのソリューション提案をした時の顧客は :
- 顧客の優先順位の違い:顧客はセキュリティよりも、消費電流やコスト削減といった他の技術的な課題を優先していた?
- セキュリティ意識のギャップ:セキュリティの重要性は理解しているものの、現時点での導入が緊急の課題とは感じていなかった?
- 価値の伝達不足:セキュリティソリューションの価値が、顧客に十分に伝わらず、必要性を強く感じられなかった?
- 市場や競争環境:競争の激しい市場では、コストやスピードが優先され、セキュリティは後回しにされる傾向があった?
- タイミングの問題:セキュリティ対策の提案が、製品開発の初期段階には不適切なタイミングだった?
- コミュニケーション不足:顧客のニーズや課題を十分に把握しきれておらず、提案内容がフィットしなかった?
様々な要因が考えられましたが、やはり セキュリティは主機能ではないため、顧客の関心が薄かった というのが大きな理由のように思います。しかし、ネットワーク接続を前提とした製品である以上、アップデート機能やプログラムの保護機能は必要です。つまり、セキュリティは 「助役」であり「主役」ではない と感じました。もちろんセキュリティは重要ですが、顧客が最も価値を感じるのは、主機能の効率改善や進化であり、セキュリティはその主機能を安全に実行するための要素に過ぎません。加えて、コストをかけることにも限界があり、 高度なセキュリティ強化に対する必要性を強く感じなかった のが正直なところでしょう。
セキュリティには「大仕掛け」が必要
ネットワークに接続する遠隔のIoTデバイスは、ホストサーバと安全に接続し、信頼を構築する必要があります。つまり、ホストサーバと端末デバイス間でエコシステムを構築し、信頼性を確保するには、相応の「大仕掛け」が必要です。また、サイバーセキュリティの法規制は、製品のライフサイクル全体を保護することを求めています。つまり、製造から運用、さらには廃棄に至るまで、包括的なセキュリティ対策が必要です。
最近のサイバー攻撃は非常に高度かつ巧妙で、単一の対策では防ぎきれないケースが増えています。そのため、複数の層で防御を行い、脅威を効果的に検出・対応することが求められます。製品の主機能はデバイス単体で完結するかもしれませんが、IoTの機能とセキュリティは、エコシステム全体で完成させる必要があります。セキュリティに大きなコストをかけたくない顧客にとって、これは大きなハードルであることがわかります。
余談ですが、セキュリティに費用をかけたくない一部の顧客は、「全部あなたの会社でセキュリティをやってくれたら、ソリューションを買うよ」と半ば冗談めかして言うこともあります。しかし、実際には、セキュリティの重要性は理解していても、自社製品にどのように組み込めばよいか分からず、悩んでいる顧客は少なくないでしょう。
間もなく施行される「欧州サイバーレジリエンス法案(CRA)」は、製品ライフサイクル全体のデバイス管理を義務付けており、違反した場合には、1,500万ユーロ(約24億円)またはグローバル年間売上高の2.5%のいずれか高い方が罰金として課されます。この規制は、IoT製品のほぼ全てに適用されるため、多くの反対意見もありますが、セキュリティが脆弱な製品が社会問題となっている現状では、避けて通ることはできないでしょう。
セキュリティの「落としどころ」はどこか
そんなセキュリティの「落としどころ」は、リスクとコストのバランスを取る ことなんだろうと思います。完璧なセキュリティを実現することは理論的には可能であっても、現実的にはコストや運用負担が大きくなりすぎます。そのため :
- リスク評価:必要最小限の重要なデータを特定して、そのデータの脅威が最も深刻なリスクを評価する。
- コスト対効果:セキュリティ対策のコストと、それによって防げるリスクのバランスを考える。
- ユーザビリティ:セキュリティ対策がユーザーの利便性を損なわないようにする。
- 規制遵守:法的要件や業界標準に適合することを確認する。
これらの要素を総合的に考えると、システムにとって必要最小限の提案を行うことが重要だと思われます。しかし、多様なシステムに対して、それぞれに適した最小限の要件を提案するのは、ほぼ「無理ゲー」に感じます。また、他社との差別化を図るためには「一芸に秀でた」ポイントが必要ですが、顧客が求めるのは業界標準レベルの必要最小限の機能です。結果として、セキュリティ単体ではほとんど売れないという結論に至ります。
セキュリティと「何か」を足し算する
「IoTでは、セキュリティは主役になれない」というタイトルの意味は、セキュリティ単体ではその価値が伝わりにくいということです。セキュリティは「助役」として、主役である機能を守るための重要な要素に過ぎないからです。
それでは、主役の機能とセキュリティを組み合わせたソリューションはどうでしょうか?
「セキュリティは主役ではなく、主機能を支える助役」という前提で、AIoT(人工知能とIoTの融合)のセキュリティソリューションが効果的に活用できるターゲット分野を考えてみます。
主役1: スマートホーム
スマートホームは、エネルギー管理や家電の自動化にAIoT技術を活用する典型的な例です。スマートデバイスやセンサーが家庭内でデータを収集・分析し、快適性や省エネを最適化しますが、常にインターネットに接続されているため、サイバー攻撃やプライバシー侵害のリスクが高まります。セキュリティは、スマートホームを安全に運用するために不可欠です。
主役2: 産業用IoT(IIoT)
製造業や工場の生産ラインでは、AIoTがデータ分析を行い、生産効率の向上や設備異常の自動検知を実現します。しかし、産業用システムが外部から攻撃されると、操業停止や生産への影響が避けられません。セキュリティは、産業システムを守り、安定した運用を支える重要な要素です。
主役3: 医療分野(スマートヘルスケア)
医療分野では、AIoTが患者データのリアルタイム収集や遠隔医療に利用され、ウェアラブルデバイスによる健康管理も行われています。医療データは機密性が非常に高く、セキュリティは欠かせません。セキュリティは、医療システムのプライバシー保護と安全性を確保し、信頼性の高い医療サービスを実現します。
主役4: 自動運転(スマートモビリティ)
自動運転技術はAIoTの最先端分野です。車両が自律的に判断し、他の車両やインフラと通信することで、交通の効率化や安全性を向上させます。しかし、通信がネットワークに依存しているため、セキュリティが不十分だとハッキングや不正アクセスのリスクが高まります。自動運転の安全性を確保するため、セキュリティは欠かせない補完機能です。
まとめ
セキュリティは単体では価値が伝わりにくいものの、主機能と組み合わせることで、ソリューション全体として大きな価値を発揮します。逆に言えば、主機能はセキュリティがなければ安全に機能することができず、セキュリティはその主機能を支える不可欠な要素となります。
これを踏まえると、主機能とセキュリティを組み合わせた必要最小限のシステム構成が、IoTの分野において求められていると言えるでしょう。このようなシステムを実現するためには、そもそもの話として、セキュリティの仕組みをしっかりと理解し、それをどのように効果的に活用するかが重要です。
Discussion