携帯電話ネットワーク(移動体通信)はCDMAをはじめとした第3世代の技術による情報革命がもたらされました。その後3.5Gや3.9Gなどを経て4G、つまりLTEによってさらに高速な通信手段が提供され、私達の手元の情報端末は快適に、そして以前と比べると様々な場所でインターネットに接続できるようになっています。

そのような移動体通信に今、新しい時代が来ようとしています。それが次世代通信技術である「第5世代移動通信システム」通称、5Gです。超高速・超低遅延、かつ多数同時接続を主眼として設計されている5Gネットワークでは、すべての機器がインターネットに接続される未来「IoT」を見据えて現在さらなる仕様の策定と、機器の設計・ネットワーク構築が行われています。

すべてのものがインターネットにつながる5G時代に企業が考えなければならないセキュリティとはいったいどんなものでしょうか。

5Gによって変わることとは?

5Gとはそもそも移動体通信の設計仕様のひとつであり、それ自体が何かセキュリティに問題を及ぼすものではありません。しかし、最大の特徴は「超多数のデバイスが直接インターネットに接続しても、速度・負荷ともに影響が最小化される」ということです。今までは有線ネットワークを構築した上で、Wi-Fiなどを経由して無線ネットワークで接続していた機器が、すべて直接インターネットに接続しても問題が発生しなくなる未来がありえます。つまり、「機器設置・構築の自由度が大きく広がる」と同時に、「機器が直接インターネットに接続することによって単体でネットワークが完結する」のです。

現在最先端を走る自動運転やAIといった技術はもちろんのこと、テレビやオーディオ機器といった情報機器や身の回りの家電製品、果ては家のオートロックすらインターネット経由で常にアクセス可能な状態にできる可能性があります。それらを個人が持つ端末(多くはスマートフォン)経由で確認することで、「いつでも」「どこにいても」「すべてが確認可能」な時代がやってくるということです。

5G社会における中小企業で増える監視対象とは?

この方向性は企業でも変わりません。企業内の活動、開発や営業といった業務はもちろんのこと、機器の保守や状況の監視などもすべてインターネット経由で実施が可能となります。働き方改革が叫ばれる昨今、5Gによって様変わりする可能性が高いのが、リモートワークです。リモートワークを活用していればいるほど、企業活動において5Gネットワーク、正確にはIoT(Internet of Things)がもっとも重要なツールとなると言えます。

その場合、セキュリティ担当者が面倒を見る範囲が莫大に増加することは間違いありません。これまで個人が所持していた情報機器であるコンピュータ・スマートフォンはもちろんのこと、インターネットに直接接続する機器が増えることで、それらの活動が正常かどうかを常に監視する必要に迫られます。

5Gになることで発生する新たなリスクと課題

5G時代を前提とした場合、オフィスにある機器すべてがインターネットに直接接続されることを想定しなければなりません。これまでは企業内ネットワークの出口を中心とした管理が実施できていますが、今後は「ネットワークの出口」が1カ所であるという設計は正しくなくなります。すべての機器がスマートフォン同様、パブリックネットワーク上に存在するという前提を考えなければならないのです。さらに、5G通信では「モバイルエッジコンピューティング」という、通信網のエッジ部でデータ処理が実施されるため、既存のネットワークとは構造自体も異なってきます。

セキュリティ担当者はこういった知識も踏まえつつ、企業のセキュリティポリシーを最善のものにしていかなければならないのです。

わかりやすい例としてはファームウェアの更新があります。基本的にはすべての機器は自動的にセキュリティが更新されるべきなのですが、IoT時代では不具合を避けるために、自動更新機能を停止していることがあります。そういった機器の状態をすべて把握し、どのタイミングで更新を実施するのかを、パブリックネットワーク越しに監視しなければならないわけです。その業務は、手段やツールを考えなければセキュリティ担当者にとってかなり重い仕事となることでしょう。

IoTを目標とした攻撃の事例

IoT時代には企業に対する攻撃は肥大化することは間違いありません。産業機械に対する攻撃はIT系(情報系)だけではなくOT系(制御系)にまで及ぶことが考えられています。実例をご紹介しましょう

もちろん、既存の情報機器同様に、IoT機器自体の情報の搾取を実施しようとする攻撃も枚挙にいとまがありません。2016年に発見されたMiraiと言われるマルウェアは、IoT機器に対して攻撃を行い、踏み台サーバに仕立て上げるものであり、多数のIoT機器が感染しました。

これらの踏み台サーバにより数多くのサーバがDDoS攻撃を受け、結果として多数のサーバがアクセス不能となる被害が発生しています。

上記のケースでは、「IoT機器に対するセキュリティパッチが多くの企業で反映されていない」という実情が公開され、多くのセキュリティ関係者から警鐘を鳴らされる事態となりました。

リスクに対して必要な対策

5G時代を迎えるにあたり、セキュリティ担当者が実施しなければならない作業は大きくわけて2つあります。

A.インターネットに接続する機器の把握と監視
B.随時のセキュリティパッチの適用とファームウェアの更新

これらは既存のコンピュータやスマートフォン同様のセキュリティ指針に立つものなので、既存のルールの延長線上で管理することが可能ですが、機器の台数は膨大になりますので、仕事量の調整が必要になることは想像に難くありません。

また、一方で製造や販売といった観点を踏まえた場合の大局的な視点に立つと、大きくわけて以下のようになります。

A.設計・製造・販売段階でのセキュリティ対策
B.設置・運用・保守段階でのセキュリティ対策

あなたの企業がIoT機器の製作に携わっているのであれば大局的視点に立ち、セキュリティ指針をまとめ上げなければなりません。

幸いにも先日、総務省が5G時代のセキュリティに対する指針をまとめた案を公開しています。
まずは情報をあつめ、自社に何が必要なのかを把握しましょう。

まとめ 5G時代はもはや目の前、喫緊の対策が必須

5G世代のネットワークは2020年中にスタートすることが見込まれています。端末自体の開発も進んでおり、まずはスマートフォンなどの基本的な情報デバイスから5Gが適用されていくことになるでしょう。

一度始まった情報改革はとどまるところを知りません。すぐにIoT機器に対する5Gネットワークの提供が開始され、皆様の手元に届くことでしょう。その時にセキュリティ担当者として頭を抱えることのないよう、情報のアップデートは急務であると言えます。各セキュリティソフトベンダーからも多くの情報が提供されていますので、まずは自身の知識を高めていきましょう。