【CSMS 第1回】IoT製品開発におけるサイバーセキュリティへの取り組み



アラスジャパンの久次です。

ものづくりにおける“サイバーセキュリティ”をテーマにしたブログシリーズとして、第1回は IoT製品開発におけるサイバーセキュリティへの取り組みについてをお届けします。


IoTがますます身近な存在になってきました。

音声を使って音楽を楽しめるスマートスピーカーや天気予報を教えてくれる洗濯機、コマーシャルを流す冷蔵庫、無人店舗での買いものやくるまの自動運転など、サービスをインターネット経由でIoTデバイスに提供し、ユーザに新たな価値を提供することが可能になってきました。
IoT製品は、動作や振る舞いがソフトウエアを使って制御できるため、ソフトウエアをアップデートすることでデバイスの動きをいつでも変更出来る点が特徴です。


新たな品質管理への取り組み

製品開発に於いてこれは新たな取り組みです。

従来の製品は出荷までに品質を作りこめば良かったのですが、IoT製品では出荷後の製品に関しても安全に利用できるように保証していく必要があります。
製品安全に関して厳格な品質管理が求められる自動車では、国連自動車基準調和世界フォーラム(WP29)に於いて、自動車の安全・環境に関わる国際基準を制定する取り組みが行われています。WP29では、安全全般にかかわる事象から、排ガス、騒音に関する事柄と合わせて、自動運転車の車両型式認定制度に関しても取り組まれています。特筆すべきは自動運転の安全を担保するため、制御システムに対する防衛対策だけでなく、ソフトウエアのアップデートに関するリスクも含めサイバーセキュリティという言葉を使って言及されており、これらの要件が国際標準規格のISO/SAE 21434として2020年の策定を目指して作業が進められています。


サイバーセキュリティ

ここで注目したいのが、”サイバーセキュリティ”という言葉です。

上司から、「サイバーセキュリティ対策を検討するように」という依頼を受けた場合、皆さんはどのような活動を思い浮かべるでしょうか?
外部からの不正アクセスによるソフトウエアの改ざん防止やsqlインジェクション攻撃によるシステムのダウンの回避、情報漏洩対策などをイメージするのではないでしょうか。


これらもサイバーセキュリティ対策ではありますが、IoT製品に対するサイバーセキュリティを考える場合、もう一つ別の視点も忘れてはいけません。

製品には、ユーザが”安全”に利用できる事が求められます。ここでいう”安全(safety)”とは「使う人に危害を与える事なく利用できる」事を言います。
サイバーセキュリティの”セキュリティ(security)”という言葉を製品安全の視点で紐解くとどのように理解すべきでしょうか?
セキュリティという意味には”守る”、”守られる”という意味があります。
IoT製品における”セキュリティ”とは、「危険から守られて安全に利用できる事」と理解する必要があります。

IoT製品はソフトウエアをアップデートすることで、機能や性能を向上させることが出来るという特徴を持ちます。サイバー(≒ソフトウエア)のセキュリティ(≒危険から守られて安全に利用)を考える場合、外部からの不正侵入を防いで安全を確保することと同じぐらい重要な事として、ソフトウエアのアップデートが実施されても安全に利用できるような手段を講じなければいけません。


ソフトウエアアップデートのリスク

IoTデバイスが登場し始めた頃、次のような事故が発生しました。

ある会社が、居住空間の温度管理を最適化してガス代や電気代を節約するサービスを提供するため、IoT化したサーモスタットを開発し提供を始めました。
記録的な寒波が到来したある冬の日、室温が上がらず寒いというクレームがコールセンターに多数寄せられました。そこでメーカーは、より高い室温設定が可能な様にソフトウエアを更新し、各デバイスにソフトウエアのアップデートをかけることにしました。各デバイスはメーカーとインターネットでつながっているため、ソフトウエアのアップデートは簡単に実施することが出来ました。
しかし、しばらくすると今度はサーモスタットが壊れてしまって暖房が動かないというクレームが数多く寄せられてきました。調べてみると、最新の機器スペックに合わせてソフトウエア仕様を変更したため、古い機器では対応できずに故障に繋がったという事が判明しました。

この事例からも分かるように、ソフトウエアをアップデートして機能を更新する場合、最新の機器の仕様だけでなく、関係する全ての世代に亘って変更による影響を検討する必要があります。
IoT製品では、出荷時の品質を保障するだけでなく、出荷後もユーザが利用している限り継続して品質を担保できるような仕組みが必要です。
これからの製品開発を考える場合、製品の安心・安全を担保するためには、新たにサイバーセキュリティへの取り組みが必要となってきます。




次回の記事もぜひお読みください。


「ものづくりにおける“サイバーセキュリティ”」ブログシリーズ 目次
 第0回:ものづくりにおける「サイバーセキュリティ」とは? ~イントロダクション~
 第1回:IoT製品開発におけるサイバーセキュリティへの取り組み
 第2回:自動車におけるサイバーセキュリティ 
 第3回:サイバーセキュリティのマネジメント
 第4回:サイバーセキュリティのマネジメント(その2)
 第5回:サイバーセキュリティにおけるデジタルツイン
 最終回:結論「サイバーセキュリティとは」
 ※掲載順序、タイトル、回数などは今後変更となる可能性があります。あらかじめご了承ください。

Anonymous