[新製品・サービス]

2019年10月28日(月)日川 佳三（IT Leaders編集部）

リスト

米DigiCertでIoTセキュリティ担当副社長を務めるMike Nelson（マイク・ネルソン）氏
拡大画像表示

　IoTデバイスが抱えるセキュリティ上の課題として、デバイス認証、データ暗号化、データの完全性の3つを挙げるのは、米DigiCertでIoTセキュリティ担当副社長を務めるMike Nelson（マイク・ネルソン）氏（写真1）である。

　「正しいIoTデバイスを接続するためには認証が必要。IoTデバイスが収集して送信する機密データを保護するためには転送データの暗号化が必要。プログラムの署名を検証してマルウェア感染などを防ぎ、IoTデバイスから完全なデータが得られることも重要だ」（Mike氏）と説明する。

　デバイス認証、データ暗号化、データの完全性の3つを実現する手段として同社は、PKI（公開鍵暗号基盤）の電子証明書（デジタル証明書）が適するとアピールする。IoTデバイスに電子証明書を埋め込んでおくことによって、これらの機能を実現できるからである。同社では、IoTデバイスの製造時に電子証明書を組み込む活動に力を入れている。

　Mike氏は、サイバー攻撃によってIoTデバイスが脅かされる例をいくつか紹介した。1つは、ジープチョロキーハックと呼ばれる脆弱性の例である。ジープのチェロキーという自動車に電波を介してリモートアクセスし、自動車を制御した事例である。ワイパー操作やドアのロック解除、ステアリング操作、車両の加速、エンジンの停止などがリモートで操作できた。これにより、150万台がリコールとなった。

　もう1つは、Medtronicペースメーカーハックと呼ばれる脆弱性の例である。心臓ペースメーカーに接続するモニターデバイスにマルウェアが感染することで、患者に電気ショックを与えたり、デバイスを無効にしたりできるようになる。もう1つの事例として、WannaCryによるランサムウェア攻撃も紹介した。

　なお、デジサート・ジャパンは、米DigiCertによる米SymantecのPKI事業の買収にともない、社名をシマンテック・ウェブサイトセキュリティ（旧称は日本ベリサイン）から2017年11月にデジサート・ジャパンに変更している。