IoT機器の販売前「ペネトレーションテスト(脆弱性試験)」を推進する必要性
更新日:
先月、選挙区事務所の秘書を通して、関西文化学術研究都市推進機構の常務理事から、「関西文化学術研究都市として、目玉になる新しい取組を検討したい。サイバーセキュリティに詳しい高市代議士からもアイデアを伺いたい」という旨の相談をいただきました。
私から先方に対しては、IoT機器の販売前「ペネトレーションテスト(脆弱性試験)」の拠点を、関西文化学術研究都市に設置して欲しいという希望をお伝えしました。
去る3月4日には、私もご一緒して、上京された関西文化学術研究都市推進機構の常務理事をはじめとする皆様と、総務省のサイバーセキュリティ統括官との間で、「ペネトレーションテスト」の現状や今後の課題について、意見交換をしていただきました。
私のアイデアについては、今後、関西文化学術研究都市推進機構において、実現可能性の有無について検討されるであろうことですから、結果は分かりません。
しかし、いずれにしましても、急速に私達の生活の中にIoT機器が普及していますから、消費者が安心して安全にIoT機器を使えるように、セキュリティ上の問題の有無につき、「サプライチェーンリスク」にも留意しながら、製品内部の基板確認やファームウェア解析も含めて、販売前「ペネトレーションテスト」を推進する必要性は増していると思います。
IoT(Internet of Things)は、あらゆるモノがインターネットに繋がることによって実現する新サービス、ビジネスモデル、要素技術の総称です。
身近なところではIoT家電があり、炊飯器、エアコン、空気清浄機、洗濯乾燥機、プリンター、AIスピーカーなど、「IoT機能搭載」と表示して販売される品々が増えました。
スマホ1台で、家中の家電製品を操作できる「e-Remote」が定着しつつあります。
スマホで自宅ドアの鍵の開閉も可能になっていますし、自宅の防犯カメラ画像も職場から常時チェックできます。
私と弟も、亡き親の在宅介護期間中には、親が車椅子のまま廊下やリビングに倒れていないか、無事にベッドに入ることができたか、夜間に東京から室内カメラの画像をチェックすることによって、安心して眠ることができました。お子様やご高齢の家族の見守りに活用しておられる方は多いでしょう。
この他、これから普及が始まる自動運転車は勿論ですが、現状の自動車にも約100個のコンピュータが搭載されており、自動車もIoT機器です。
工事現場で使用される重機も、IoTで遠隔操作ができるものが登場しています。
便利な世の中にはなりましたが、サイバー攻撃による事故や、プライベートな情報流出について、販売前に「リスクの最小化」をしておく必要性も痛感しています。
既に、サイバー攻撃によって、AIスピーカーに話しかけた内容の流出、室内カメラや屋外防犯カメラ画像の流出、スマホのアプリに起因する被害など、様々な事例が報告されていることは御承知の通りです。
過去には、自動車のハンドルやブレーキの遠隔操作が可能だという技術者の指摘を受けて、各自動車メーカーはセキュリティ強化に取り組みました。
IoT家電については、私が自民党サイバーセキュリティ対策本部長を務めていた2017年11月から2019年8月までの間に行った議論の中でも、「他者の遠隔操作によって、真夏にエアコンを暖房に切り替えられて、高齢者が熱中症になった場合の法的責任の所在」などについて、議論を行っていました。
遠隔操作による火災発生や無用な電力消費など、様々なリスクが想定できます。
既に使用中のIoT機器については、総務省で『NICT法(国立研究開発法人 情報通信研究機構法)』を改正し、2019年から、「NOTICE」という取組が実施されています。
これは、NICTが、サイバー攻撃に悪用されるおそれのあるIoT機器を調査し、IPS(インターネット・サービス・プロバイダ)を通じて、利用者への注意喚起を行うものです。
他方、販売前のIoT機器の「ペネトレーションテスト」については、未だ普及しているとは言えません。
今でも、複数の民間企業で「ペネトレーションテスト」のサービスを提供していただいています。
最も実績があると考えられる企業に関する資料を拝見しますと、「IoT機器の機能や構成するシステムの規模に応じ、500万円程度から」という価格設定でしたから、販売価格が安いIoT機器を製造する企業にとっては「ペネトレーションテスト」を受けることのハードルは高いと思われます。
本件について、私が国政に携わっている間にチャレンジしたいと考えていることは、以下の事柄です。
①全てのIoT機器について、国産品だけではなく輸入品も含めて販売前「ペネトレーションテスト」を義務付けること
②より安価に「ペネトレーションテスト」を受けられるような支援を、国が行うこと
③自動車や重機など大型製品の「ペネトレーションテスト」が可能な拠点を整備すること
④高度な「ペネトレーションテスト」に携わることができる人材の育成を促進すること
⑤セキュリティソフトの更新など「消費者が留意するべき点」についても、継続的な啓発を行える体制を整えること
特に①については、コストを要することですから反対も多いかと思います。
それでも、5Gの普及によって1㎢あたり100万台のIoT機器が接続可能となる時代ですから、更に多くのIoTを活用した製品やサービスが開発されるはずです。
「リスクの最小化に向けた備え」に早急に着手するべき時期だと確信します。