11月28日から12月1日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「 Internet Week 2017 ～向き合おう、”グローバル”インターネット～ 」が、浅草橋のヒューリックホール＆カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC)2が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

情報セキュリティに関するプログラムの見どころを語ってもらう企画の3回目は、11月29日(水)に行われるプログラム「転ばぬ先のIoTセキュリティ～コウカイする前に知るべきこと～」について、NRIセキュアテクノロジーズ株式会社の中島智広氏、国立研究開発法人情報通信研究機構(NICT)の久保正樹氏、一般社団法人ICT-ISACの齋藤和典氏に話を聞いた。


――「IoT大"航海"時代を前に、サービスやプロダクトを"公開"し、"後悔"しないためのエッセンスを共有したい」ということですが、ひとくちに「IoTセキュリティ」といっても範囲は広いですね。

「IoT」という言葉はまだまだバズワードで、言葉を聞いてなにをイメージするか、聞き手によって違います。IoT にはいろいろなプレイヤーがいますが、共通する1つの考え方としては、まず IoT サービスを管理・運用するサービス提供者にあたる人がいます。さらに、提供されるサービスを開発やテスト、あるいは統合を行ういわゆるSIer的な立場のサービスディベロッパー、最後に IoT サービスを利用するユーザーがいます。

・サービス提供者
・サービスディベロッパー
・ユーザー

この3つの層をイメージしつつ、特定のIoTの分野に偏らず、3つの層におけるセキュリティの現状と課題、必要な取り組みについて話が聞けるようなプログラムを考えているところです。

――具体的にどのようなプログラム構成になるのか教えてください。

IoT全盛時代に向けて多くの専門家がセキュリティの課題を指摘していますが、実はこういったネットワークにつながる機器の脅威はすでに顕在化しています。ネットワークを能動的にスキャンしたり、ハニーポットを用いた受動的観測から見えてきた、今、なにが起こっているのかという、現実の脅威について、まずはじめに横浜国立大学の吉岡克成先生にお話しいただきます。マルウェア感染や踏み台といったポピュラーなものから、「まさかこんなことが・・・」と驚くような事例まで幅広く取り上げてくださる予定です。

次に、デバイスという視点でIoTに欠かせないセキュリティの知識や考え方を紹介してもらいます。株式会社FFRIの金居良治さんは、昔から機器の脆弱性検査やペネトレーションに精通されているプロフェッショナルの方で、国産のファジング検査ツールを開発されるなど、さまざまなノウハウをお持ちです。まだまだ一般になじみの薄いデバイスセキュリティならでは脅威を取り上げ、現実的な脅威であること、新しい観点が必要であることを共有してもらいます。

その後には、ガイドラインを中心としたIoTセキュリティへの体系的な取り組み方の話を取り上げます。国や業界団体をはじめ国内外に複数のガイドラインが存在します。しかし、これらのガイドラインが存在するからといって、そのまま自社製品のセキュリティを高めることは難しく思います。そこで、コンサルタントの視点から「どのように利活用していくのか」というポイントを紹介してもらうということを考えており、これをNRIセキュアテクノロジーズ株式会社の熊白浩丈さんにお話しいただく予定です。その一環としてPSIRT (Product Security Incident Response Team)と呼ばれる製品に関するインシデントの予防や対策を担うプロダクトセキュリティの取り組みについても紹介してもらいます。

最後に、製品セキュリティと出荷後の脆弱性対応について、積極的に取り組んでおられる株式会社アイ・オー・データ機器の島田康晴さんに、自社製品の脆弱性対策、製品セキュリティを確保するためのこれまでの取組みとこれからについてご紹介いただきます。実際に「転んでしまった経験」をお持ちであり、先駆者ならではの知見を、生の苦労話を踏まえながらお話しくださいます。これからIoTデバイスを開発したり、IoTサービスを開発するディベロッパーのみなさんには有用なインプットになると考えています。

――このプログラムの対象者はどのような方ですか。また、読者や参加者にメッセージをお願いします。

IoTデバイスをこれから開発あるいはサービス提供する立場の現場担当者や事業責任者には 聞いていただきたいです。要は、これからIoTでビジネスをしようと思っている人ですね。3層のプレイヤーが関わっていてそれぞれの個別のセキュリティはあるとは思うのですが、プレイヤーをまたがった話者の人から幅広く聞けるという機会はそうはなく、得るものがあるんじゃないかな、と考えています。皆さまのお越しをお待ちしています。