POINT OF VIEW ポイントオブビュー

NTTデータ

下條 彰

IoT時代のセキュリティ


サイバー攻撃の猛威は衰えを知らない。被害は深刻さを増しており、莫大な数のアカウント情報やパスワードがいまなお漏えいしている。こうした漏えいを狙う攻撃を検知し、侵入を完全に防ぐことは事実上不可能であり、いかに素早く検知し被害を最小限に留めるかが重要となる。侵害された部分をネットワーク的に高速で切り離す技術や、AIを用いた自動防御の挑戦も始まっている。
サイバー攻撃をより深刻にする要素として、2016年はIoTが注目された。攻撃者は防犯カメラやビデオレコーダといったIoT機器のうち、設置後に初期設定のまま放置された「野良IoT」を探し、その脆弱性を突き乗っ取り活用しているのだ。2016年末、世界に散らばる野良IoTは数十万台の規模で攻撃者に組織化された「ボットネット」となり、史上最大規模のDDoS攻撃を行い、複数のオンラインサービスを停止させる大きな被害を出した。
このような脅威に対し、具体的なセキュリティ対策を求める動きは加速しているが、実現は容易ではない。設置されたIoT機器にユーザが後からセキュリティ対策を施す可能性は低く、製造段階での対策、すなわち機器製造業者に責任を負わせる認証制度やラベリング制度が議論されている。日本国内においても、IoTセキュリティガイドラインが公開され、具体的な対策の検討が始まっている。
IoTはセキュリティの対象となるデータやその価値も変化させている。自ら登録したデータに加え、ウェアラブルデバイスで取得される心拍数や血圧、位置情報など、さまざまな情報がIoTにより生み出される。これらがユーザの同意のもとにパーソナルデータに紐付けられ、その情報をAIが推定し、より強力なパーソナライズを生み出すことになる。
こうしたデータは、時にネガティブな結果や不利益をもたらす場合もある。例えば、将来の発病可能性といった推定データが作成されれば、保険加入に関わる広告や、ローンの広告を抑制する、といったパーソナライズが起こるかもしれない。そうしたネガティブな推定データは、本人の知らぬ間に生み出され、仮に誤った情報であっても修正できず、その結果不利益が生じても個人は対抗する手段はないという点で、問題となるだろう。
生み出される推定データはだれのモノか、という課題もある。個人を表す情報であるにも関わらず、その帰属は情報を収集し分析した企業にある現状は問い直されるだろう。各国では、情報収集にあたっての同意の義務化や、情報の第三者提供に関わる法制化が進みつつある。
一方で匿名化技術を用いて収集したパーソナルデータを個人の特定ができない形に加工し、本人の同意なしにマーケティングに活用する企業も存在する。とくに厳密なパーソナルデータ保護を目指すGDPR(EU一般データ保護規則)が2018年5月に施行されることとなり、各企業はこうした構想の具体化を急ぐべき段階に入っている。

戻る

採用情報

現在はありません。

お問い合わせ

TEL:03-5937-5480
FAX:03-5937-5476
Mail: info@denkeishimbun.co.jp

facebook