IoTと暗号化ポリシー

IoTというと「物のインターネット」と言われるようにすべての物がインターネットにつながる世界を想定しています。いままではPCやスマートフォンといった人間が直接操作するものがほとんどでしたが、IoTではすべての電子機器がつながることを前提にしています。

総務省も今年7月にIoTセキュリティガイドラインを発表しました。ここではすべてのものがインターネットにつながる世界では。いままでの情報セキュリティ対策だけでは対応できなくなるといいます。つまり、人が介在しない自律型のシステムが増えるので、個々の端末をより安全にコントロールすることが求められ、データ暗号化の推奨がされています。

前に通信の暗号化の次はデータの暗号化に向かうと言いましたが、今、IoTの世界ではまさにそのようなセキュリティの話題が中心になっています。IoTでは膨大な数の自立したシステムがインターネットに接続してきます。このような中で、データを守るための暗号化の技術は重要度を増しているのです。

なぜ、暗号化するのかといえば、それは攻撃者からデータを守るためです。しかし、単にデータを暗号化すれば、安全というわけではありません。最近では無料であったり、とても安価な暗号化のサービスが提供されていることもありますが、それが本当に攻撃者からデータを守れるのか見極める必要があります。

つまり、暗号化は手法によってそれぞれ目的が違うということです。適切な暗号化手法を選ばないと実際に想定していた攻撃から守れないことになり、これを分かっていないと間違った暗号化をしてしまうことになります。

では、適切な暗号化とは何なのでしょうか?

一言でいえば暗号化ポリシーが作成できるかということなのですが、つまり、誰が暗号化し、誰が復号化できるか細かく設定できるのかということです。この暗号化ポリシーが細かく設定できない暗号化は攻撃者から見れば、ほとんど無意味です。

そして無料や安価な暗号化サービスはほとんどの場合この細かな暗号化ポリシーの設定ができないのです。このあたりの詳しい内容はまた別の機会にご説明させていただければと思います。