SHARE Twitter Facebook はてなブックマーク LinkedIn

つながる世界 ~IoTとセキュリティ

株式会社NTTデータ 技術革新統括本部 システム技術本部
セキュリティ技術部

課長代理 鈴木 悦生

2019.04.12

IoTの世界では、IoT同士がさらにつながることで新たな価値を生み出している。そのため、デバイスから収集されたデータは、他のIoTデータ等と連携されて新たな価値を生み出す流れになるだろう。しかし、データの二次利用、三次利用においては、収集したデータの取り扱いに齟齬が生じないよう、仕組みなどで工夫しなければ、プライバシーの侵害などにつながる恐れもある。

健康増進のため、腕時計型の歩数心拍数測定のデバイスを使ったことはありますか。
運動のモチベーション維持のため、ウォーキングでどこを訪れたか記録したり、そこで撮影した写真を連動させたりするサービスを使ってみたことはありませんか。

IoTは他のIoTとつながることで、更に新しい価値を生むSoS(System Of System)としての性質を持っています。SoS的な特徴を持ったIoTが「つながる世界」を実現するともいえます。
これらは、以下の特徴を持っています。(※1)

(1)単独で有用
(2)つながっても独立に管理可能
(3)完成系ではなく、継続的に進化
(4)つながることで新しい目的や機能を実現
(5)地理的に分散し、情報を交換

図1:SoS的な特徴を持ったIoTのイメージ

図1:SoS的な特徴を持ったIoTのイメージ

そのため、現在は、自分のデータ(歩数情報など)と自分のデータ(写真など)が連動するにとどまっているサービスだとしても、今後はインターネットを介して、更なるデータとつながり、新しいサービスになってゆく可能性もあります。

このとき、つながる先にあるデータとしては、最適な歩数データや、ウォーキングする周辺の店舗情報を、自分の立ち寄り先情報などと組み合わされて、提供されるかもしれません。

新しい価値を生むために、蓄積された膨大なデータが活用されて皆さんの生活をよりよくすることでしょう。

一方、蓄積されるデータは、皆さんに提供されるものだけには限りません。歩数、体重、歩いたルート、場合によっては心拍数や血圧などのデータも、腕時計型の装着デバイスなどを通じて、大量のヘルスケアデータとしてクラウド上に蓄積されることになります。

そして、他のデータと連携するため、二次利用、三次利用されることになるでしょう。そうなってくると、収集されたデータが二次利用、三次利用される際にも、セキュリティが確保された扱いを受けているかが重要になります。

例えば、ランニングやウォーキングのデータであっても、2020年のオリンピックを前に、健康のためウォーキングやランニングをはじめとする運動が推奨されている現状であれば、どれだけの人が、どの時間帯に、どの地点にいるかなど、集まればビジネスに活用できるデータになり得ます。収集したデータを欲する企業も多いことでしょう。

IoTデータの提供範囲を広げつつ、収集したデータを目的外の利用から守るためには、収集したデータの二次利用、三次利用時にも、例えば、以下のようなセキュリティ対策が必要となります。

■セキュリティ対策例

 ・識別認証
 ・アクセス制御
 ・ウイルス対策
 ・脆弱性対策
 ・暗号化
 ・バックアップ
 ・監視

もし、自力でセキュリティを確保するのが難しい、あるいはスピード重視で専門家に任せたいといった場合は、データレイク(※2)のようなデータ収集・配布基盤を持つサービスを活用してIoTデータのセキュリティ確保を図ることも一つの選択肢と言えます。

  1. ※1:出典 IoTセキュリティガイドライン 1.0
  2. ※2:NTTデータ アナリティクスを支えるデータ蓄積基盤「データレイク」 2016年8月25日
    http://www.nttdata.com/jp/ja/insights/trend_keyword/2016082501.html
  3. 参考
  4. ・IoTの基本モデル
    https://www.ipa.go.jp/files/000059278.pdf(外部リンク)

Profile

鈴木 悦生
株式会社NTTデータ 技術革新統括本部 システム技術本部
セキュリティ技術部
課長代理 鈴木 悦生

周辺系装置、ワントゥワンシステム等の開発に携わった後、1999年からセキュリティコンサルタントとして活躍。
ISO27001認証取得コンサルティング、プライバシーマーク認証取得コンサルティングを経て、最近は、自動車会社へのセキュリティコンサルティング(ISMS構築、開発技術標準改訂等)、自動車業界団体への車載システム脅威アドバイザ、IEC62443及びJ3061に基づくセキュリティ基準作成コンサルティングなどに取り組む。