連載 :
  ReadWrite Japan

セキュリティ対策のないコーヒーマシンがホワイトハウスを脅かす(2)

2017年10月4日(水)
ReadWrite Japan

前半の記事はこちら

湧き上がる疑問

このことは米国における消費者向けIoTデバイスのセキュリティについて多くの疑問を投げかけるものだ。連邦政府に販売される製品に対するセキュリティ向上が、個人の消費者にどうプラスに働くのだろうか?連邦政府向けに販売しないすべてのベンダーのIoT製品も同様の水準を保つことになるのか?ベンダーは販売する製品を、連邦政府向けか一般消費者向けかで選り分けるようになるのだろうか?あらゆる製品やテクノロジー、特に個人情報を収集するデバイスについて、標準となる規定が定められることになるのだろうか?

今回の議案は消費者とベンダーにとって試されるものだ。懸念されるのは本当の危険性をIoTデバイスが普通のコンピュータ以上に及ぼしうることだ。というのは、IoTデバイスは現実世界のシステムを操作できるということだ。頻繁に見られることだが、IoTデバイスの浸透は急速に伸びており、製造者はその競争に勝ち残ろうと消費者を喜ばせることを第一に決断や製造を行っており、セキュリティは二の次になりがちである。より安い製品を早く市場に送り出すことが第一になっており、セキュリティが見落とされている。

結果として、消費者は製品やサービスの利便性と引き換えに、セキュリティとプライバシーを犠牲にしている。むしろ我々は、そういった利便性が安全性を犠牲にするだけの価値があるのかどうかを自身に問うべきだろう。IoTデバイスを市場に送り出す人たちに、我々はセキュリティこそ第一であるということを求めるべきだ。

善意ある者に与えられる許可

今回提出された議案の興味深い点は研究者向けの配慮だ。もし議案が通過すれば、「サイバーセキュリティ研究者がコンピュータ不正行為防止法および、デジタルミレニアム著作権法に基づき、善意のもとでガイドラインに基づいた脆弱性を開示する研究が許される」ことになる。
善意に基づいたハッキング行為などを通して、IoTデバイスの脆弱性を発見する上での自由が研究者たちに与えられるということだ。結果、より多くの研究者たちにより倫理的に脆弱性やセキュリティ上の懸念が明らかにされることだろう。

今のところ、この議案がテクノロジーの急速な発展に即したセキュリティ上の要件を満たせる長期的戦略の取り組みになるかどうかが問われるところだ。残念ながら試行錯誤の末にその答えは時間とともに明らかになるだろう。

著者はSecureAuth社の情報セキュリティ責任者である。スタートアップ企業やForbes 500に名を連ねる企業のベンダーセキュリティリスク診断を15年以上指揮してきた経験を彼女は、SecureAuth社のリスクベース認証や情報セキュリティソリューションの指針を策定している。ガバナンス・リスクマネジメント・コンプライアンスフレームワークに関わっていることでも知られている。

DANIELLE JACKSON
[原文4]

※本ニュース記事はReadWrite Japanから提供を受けて配信しています。
転載元はこちらをご覧ください。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています