今なら間に合うIoTセキュリティ 第8回 IoTセキュリティを考えるための方法論(2)スマートスピーカーの場合
○スマートスピーカーとは?
スマートスピーカーとは、スピーカーに直接話しかけることで、部屋の照明や空調を制御したり、天気予報や今日の予定などインターネット接続によって得られる情報を得たり、音楽を再生したりすることができるもので、日常生活をクールで便利にしようというものです。
では、このスマートスピーカーのサービスを開発する場合、セキュリティ対策はどのように検討したらよいのでしょうか? 前回の方法論を使って、IoTシステムの「システム定義」→「リスク検討」→「リスク対策」の順に考えてみましょう。特定のスマートスピーカーを対象にしたものではないので、その点ご留意ください。
○スマートスピーカーのIoTシステム定義
では、スマートスピーカーのIoTシステムについて「システム定義」をしましょう。一般的なスマートスピーカーの機能に従って、守るべきもの重要資産とアクターとアクションを洗い出したものを下図に示しました。ここでは一般家庭の利用者を想定していますが、ほかにも、カフェや会社などの不特定多数の利用者を考えることもできるでしょう。
まず、守るべき重要資産を前回示したS-C-I-A(※1)の観点で考えみます。一番重要と思われるのは、やはりクラウド上にある個人アカウントに保存された情報の機密性および完全性でしょう。次に気になるのは、スマートスピーカーを介して操作されるスマートホーム機器の安全性への影響でしょうか。
※1 Safetys(安全性)、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の4要素
次にアクターとアクションについてですが、スマートスピーカーに対するインプットは主に利用者の音声によって行われ、その結果、スマートスピーカーは、宅内のスマートホーム機器の制御をしたり、またはインターネット接続を介して得た情報(音楽等も含む)を音声によって提供したりします。
○スマートスピーカーのリスク検討
では、この「システム定義」を踏まえて「リスク検討」を行います。まず、脅威シナリオを検討します。すぐに思いつくものとして、以下の3つを紹介しましょう。
スマートスピーカーへの音声入力による個人情報の窃取、または宅内の機器を不正に操作
外部接続の起点となっているルータで、スマートスピーカーとクラウド上の通信を傍受または窃取
スマートスピーカー本体に侵入し、個人情報の窃取、または宅内の機器を不正に操作
まず、(1)について説明します。これは誰でも思いつく脅威で、わかりやすいですね。カレンダーが連携している場合は、おそらく簡単にその人の予定を聞き出すことができます。宅内にあるから大丈夫と思うかもしれませんが、スマートスピーカー自体が盗まれたり、廃棄したりする場合も、同様のリスクが発生します。要は、本来IDとパスワードなどで守られているはずの情報を、音声経由で取得できてしまう仕様そのものに問題があるということです。
次に、(2)について説明します。ルーターそのものが乗っ取られてしまうと、そのルーターを介した暗号化(SSL/TLS等)されていない通信は攻撃者に容易に窃取されてしまいます。
最後に、(3)について説明します。スマートスピーカーそのものが乗っ取られてしまう場合は、宅内機器の不正操作だけでなく、クラウド上の個人情報も窃取されてしまう可能性があります。乗っ取りの方法としては、盗んで分解する、ルーター等を経由してマルウェアを感染させるなどの手法が考えられます。
上記の3つの脅威シナリオで、実際に発生した場合のインパクトが一番大きいのは、(3)ではないでしょうか。まあ、当たり前なのですが、スマートスピーカー自体を乗っ取ってしまえば、何でもできてしまいますよね。
○スマートスピーカーのリスク対策
次に、この「リスク検討」の(1)〜(3)の脅威シナリオをもとに、必要な「リスク対策」を考えてみましょう。
(1)に関する開発者側の対策例としては、音声認識をして個人を特定するという方法があります。これは、あるハンバーガーのテレビCMで、各家庭のスマートスピーカーに向かって語りかけることで、商品の説明をさせるという問題(※2)があったのをきっかけに、一部のスマートスピーカーに導入されました。
※2 https://digiday.jp/brands/watch-burger-kings-using-tv-spots-trigger-google-home
ただ、音声認識の精度によっては、似た声に反応してしまうかもしれませんし、そもそも録音された本人の声には反応してしまうので、完全ではないことに留意が必要でしょう。
次に(2)ついて考えてみます。この問題の難しいところは、直接ルータへの対策ができないので、乗っ取られることを前提として対策をしなければならない点です。したがって、多少コストはかかっても個人情報に関する部分は暗号化(SSL/TLS)した通信を行うことが必須となるでしょう。
最後に(3)の対策を考えてみます。分解できないような成形をするとか、ウイルス対策の導入など対策はいろいろありますが、コスト削減のため、スマートスピーカーは、Linuxなどの汎用OSを使うことが多いと思われますので、完全に防ぎきることは難しそうです。
基本的な方針としては、なるべくスピーカーのソフト仕様をシンプルにして、必要な処理以外の動作をできないような作りにしておくことです。すなわち、不要なライブラリ、アプリケーション、通信ポートなどを削除したり、使用禁止にしたりすることが求められます。
加えて、スピーカーそのものに個人情報を保存せず、クラウドに一元管理した上で、多少非効率でも、必要な時に取得するようにすることも、情報の窃取を起こりにくくする効果があるでしょう。
また、ユーザー側の使い方によって防げるリスクもあります。例えば、利便性を犠牲にして、生年月日などの個人情報をアカウント情報に入力しないとか、カレンダーと連携しなければ、仮に(1)〜(2)の脅威シナリオが発生したとしても、大した損害にならないかもしれません。
○IoTセキュリティを考える上で最も大切なものとは?
最終回は、スマートスピーカーを取り上げて、前回説明した方法論を用いて、「システム定義」→「リスク検討」→「リスク対策」の順に考えてみました。スマートスピーカーに限らず、IoTデバイスに対しては、開発者もユーザーも、このようなセキュリティの視点をもって、なるべく被害を最小限とすることを考えていく必要があると思います。
ここまで連載を続けてきて、筆者がIoTセキュリティを考える上で一番大切だと感じる基本原則の1つに、「守るべきものを増やさない」というものがあります。今回のスマートスピーカーであれば、クラウドにあるアカウント情報をスピーカー側に複製しないようにすることがそれに当たります。
ただ、その原則も絶対ではありません。例えば、今回のリスク対策の例として挙げた「音声認識で個人を識別する」というのは、新たに「個人の音声情報」という守るべきものを増やすことになるので、この原則に反しています。しかし、例のTV CM対策や、個人単位のカレンダー連携など便利な機能を増やしたいというスマートスピーカーそのものの存在価値をあげるために、ビジネスインパクト分析を行った上で導入しているものと思われます。
結局のところ、どんなIoTシステムであっても、売れなければセキュリティも何もないですよね。したがって、どんなIoTシステムも、与えられたビジネス環境の中で、リスクとメリットのバランスを取った上で「適度な」セキュリティ対策が行われることになります。
この連載を読んできていただいた皆さんには、ぜひ「IoTセキュリティ」を単なるコストや弱点ではなく、投資や強みとしてとらえて積極的に活用することで、「安心・安全」と「便利さ」のバランスのとれたIoT時代の実現の一助となっていただければと願います。
著者プロフィール
○佐々木 弘志(ささき ひろし)
マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP
2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。
