IoT社会に対応した
サイバー・
フィジカル・セキュリティ

プログラムディレクター

後藤 厚宏

情報セキュリティ大学院大学 学長

1984年東京大学大学院工学系研究科情報工学専攻博士課程修了。同年日本電信電話公社に入社、約27年間情報技術に関する研究開発に従事。2007年NTT情報流通プラットフォーム研究所長、10年NTTサイバースペース研究所長を歴任。11年より情報セキュリティ大学院大学情報セキュリティ研究科教授、17年より現職。内閣官房、総務省、文部科学省、経済産業省、防衛省などの審議会、委員会等における委員長等および委員を歴任。

Society 5.0を支える強靭な
セキュリティ基盤の確立を目指す

産業システムや生活環境等のフィジカル空間に埋め込まれたIoT機器が、多様なネットワークを介してクラウド等のサイバー空間と連結され、高度な知識処理や分析・解析処理との連携により、様々な付加価値を創出しフィジカル空間である経済社会に多大な恩恵をもたらす。一方、IoTの普及・拡大に伴いサイバー攻撃の脅威があらゆる産業活動に潜みつつあり、製品やサービスを製造・流通する過程で不正なプログラムの組込みや改造が行われるサプライチェーンリスクの問題も顕在化している。このため、IoTシステム/サービス及び中小企業を含む大規模サプライチェーン全体を守る『サイバー・フィジカル・セキュリティ対策基盤』の開発を行い、実稼働するサプライチェーンに組み込み実用化することで、サイバー脅威に対するIoT社会の強靭化を図る。

SIPを加速させる、12人の第一人者たちPD Interview

IoT社会をサイバー攻撃の
脅威から守りたい。

Society 5.0を支えるセキュアな
IoTサプライチェーンの実現を
目指して。

様々な機器がインターネットでつながっているIoT社会。その恩恵と背中合わせにあるのが、悪意あるサイバー攻撃の脅威です。「サイバー・フィジカル・セキュリティ対策基盤」を世界に先駆けて整備することで、IoT社会の強靱化を図る本プログラムについて、後藤 厚宏PDにインタビューしました。

「つながって便利になれば、
当然リスクも増えてきます」

Q

IoT社会になって、サイバーとフィジカル。両面のセキュリティが必要ということですね。

PD

サイバーはいわゆるIT、今、DX(デジタルトランスフォーメーション)と言ったほうがいいのかもしれません。それらを、人間社会がどんどん使いこなして新たな価値を享受しようとするに従って、リスクも増えてくるという問題があります。
今回、IoTとサプライチェーンに着目して取り組んでいます。デバイスとしてのIoTだけではなく、例えばスマホから取りだした情報をクラウドに上げて、分析して、またそれを戻すことによって、ナビゲーションのサービスを受けられます。こういったIoTの使い方は、まさにサイバー・フィジカルな典型です。
その仕組みを創り出すサプライチェーンはどうかというと、工場などは既にIoTが幅広く採用されています。そのため、IoTとサプライチェーンのセキュリティ確保は同時に取り組む必要があります。

Q

IoTは、いつのまにか社会全般に広がっていますね。

PD

IoTを3つの領域に分類したときに、1番目が、いわゆる重要インフラにおけるIoT。例えば、電力システムや鉄道システムを制御しているようなIoT。2番目が、産業用IoT。工場の中や流通システムで活用されているIoT。3番目が、コンシューマー向けのIoT。家庭用のゲーム機であり、スマート家電もIoTに含まれます。大体その3つに分類しているのですが、第1期は重要インフラのIoTを、第2期は産業用の工場とか物流とかに直結するサプライチェーンのIoTに重点を置いています。  *図1参照

図1

「そこで重要になってくるのが
信頼と信頼の結びつきです」

Q

「信頼の創出・証明」「信頼チェーンの構築・流通」「信頼チェーンの検証・維持」という研究内容を少し詳しくお聞かせいただきたいと思います。

PD

例えばサプライチェーンの場合、取引会社同士は「契約」でつながっているわけです。それが成り立っているのは、互いに「信頼」をしているからですね。
その「信頼」の崩し方として、サイバー上の、マルウェアやウイルスで、うその発注書やうその設計図を出したりして、サプライチェーンを成り立たなくする。
例えば実社会で銀行口座を開こうとすると、写真付きの免許証を持って窓口に行って、本人の確認が出来れば銀行口座を開けます。免許証が信頼の基になっているわけです。それに相当するものをIoTやサプライチェーンの中で創り出すのが、「信頼の創出・証明」のプロセス。免許証を使って銀行口座を開いたら、プラスしてクレジットカードも取得して信頼のチェーンが広がり、それを使って買い物ができるようになる。それが「信頼のチェーンの構築・流通」になります。

Q

そして、「信頼のチェーンの検証・維持」では、インシデントの検知などを行うわけですね。

PD

まさに、その一連の仕組みを創り出すというのが今回の取り組みです。現状では、サプライチェーンの「信頼」を確認するのは大変だし、手間もかかります。それを先進的な技術を使って、いつでも低コストで確認できるようにする。
例えば、何がいいですかね。このペットボトルのお茶。お茶は、ペットボトルは誰が作ったものかを瞬時にさかのぼって安全が常に確認できるトレーサビリティを可能にしようという考え方です。

Q

この研究開発を実装するために克服すべきところは、なんでしょうか?

PD

情報のやりとりや確認する手間がかかるともちろんコストは上がりますが、それ以上のメリットがあれば導入が進みます。
お客様に代わって流通を追跡するサービスだとか、その評判をチェックするサービスなど、新しいビジネスが生まれてくるかもしれない。

サイバー・フィジカルのセキュリティレベルを上げることによって、新しいビジネスが生まれ、そこから新しい付加サービスが出てくることが成功事例になると思います。

Q

幅広いサプライチェーンに「サイバー・フィジカル・セキュリティ対策基盤」を組み込むのは、大変なことだと思います。

「信頼を証明する仕組みは
日本がリーダーシップをとりたい」

PD

製造プロセスを全て管理するのは非常に困難なことです。今回、どういう製造プロセスによって作られたかという、手続きとか、発注書に従って、きちんと作りましたよというのが証明できるようにしておく。これによって意図しない製品を排除する。そういうこともやろうとしているので、幅広い産業で使えるようにしたいですね。
サプライチェーンは世界に広がっています。日本がリーダーシップをとって、信頼の創出や証明する仕組みを創ろうとしている姿勢を早く示したいと思います。

Q

府省庁の連携とか、産学官の連携メリットを少し、お聞かせいただければ。

PD

セキュリティは、分野とか、事業とか、学問だけで語れない世界です。経産省の中小企業向けのセキュリティもあれば、総務省の通信向けのセキュリティもある。セキュリティは多くの分野や省庁に関わるので連携は当然必要です。
また、産業界だけの話ではなく、十分高度なアカデミックな知見が求められる世界でもあります。そういう意味で「学」の協力というのは、必須になりますし、「官」の応援も必要になります。不正アクセス禁止法などの法律はありますけど、まだ法律の整備が十分ではないのは確かですね。

Q

PDご自身がお考えになっている、セキュアなSociety 5.0とは

PD

Society 5.0によって、様々なものがつながり、新たな価値が生まれます。そこを悪用されたら意味がないので、悪用されるリスクを極力減らしていくというところが大事だと思います。様々なものがつながるからこそ影響も大きくなるSociety 5.0の世界において、社会を守れる「サイバー・フィジカル・セキュリティ対策基盤」を、様々な角度から整備するのが第2期のプログラムの目標です。