「IoTをセキュアにする活動を今こそ」、英IoT Security Foundationが来日

図1　IoT Security FoundationのJohn Moor氏（右）とInnovate UKのGeorgios Papadakis氏（左）

IoT Security Foundation（参考資料1）は2015年に設立された。Moor氏は設立後にその団体の代表となった。以前は、英国の半導体ビジネス協会ともいうべきNMI（National Microelectronics Institute）の代表を務めていた（参考資料2)。NMIの会長の勧めでIoT Security Foundation に関わることになった。

「テクノロジーはいつでも社会の役に立つ面とそうではない面を持っている。使い方を間違えると害になる。テクノロジーは目的に合うように制御するものであり、使い方を間違ってはいけない」とMoor氏は言う。インターネットは便利な反面、ハッキングによって害を与えることもできる。

「サイバーセキュリティの必要な大きなトレンドは二つある。一つはあらゆるものがコンピュータ化することによってソフトウエアで定義された製品が広がってきた。もう一つはモバイル時代になってきたこと。これによってあらゆるものがつながるようになってきた。もはや地球上のすべてのモノがつながるようになってきており、ソフトウエアがハッキング可能な状況にさらされている」とMoor氏は述べる。

「IoTそのものはエッジではソフトウエア定義されたシステムとなり、インターネットによって世界中とつながるようになっている。しかもその数は増加している。そして今やIoTにはPCやモバイルデバイスだけではなく、専用のエッジデバイスも全て含まれ、すべてがつながっている」（同氏）。

しかもITだけではなく、工場や現場のコンピュータを含むOT（Operation Technology）までもがIoTとしてつながるようになってきている。IoTは独立的であると同時に互いに依存する関係にもあり、システム内のサブシステムも形成している。

「ではどうやって責任をもってIoTをセキュアにすべきだろうか。もちろん、システムの責任者がセキュリティを担保することだろうが、最も重要なことは、設計段階からセキュアにすることだ」とMoor氏は言う。かつて日本のDRAMメーカーが世界的に最も高い品質を誇っていた時代に、『設計段階から品質を作りこむから品質が高い』、と表現していたが、「セキュリティも同じように設計からセキュアになるように作りこむことが重要なのだ」とMoor氏は語っている。要はセキュリティに強い半導体やシステムを作るべきだと主張している。IoT Security Foundationは3つのバリュー（図2）を標語としている；Security First（セキュリティを設計に盛り込むこと）、Fit for Purpose（応用が目的に合っていること）、そしてResilience（何か起きた時にすぐに稼働を復帰できる力）。

図2　IoT Security Foundationの3つのバリュー　出典：IoT Security Foundation

IoT Security FoundationはIoTセキュリティ基金とでも訳すべきかもしれないが、NPO（非利益団体）法人である。世界中のインターネットでつながっているIoTや社会をもっとセキュアにすることが目的で、サイバーセキュリティの問題が発生すればみんなで問題を共有し対処する方法を考える。サイバー保護に関して世界中で協力し合えばIoTをよりセキュアにできる。標準化団体ではないが、IoTのメーカーや標準化団体、政策立案者も参加する国際団体である。もちろん日本からの参加は大歓迎である。IoTのハードウエアやソフトウエアだけではなくセキュリティ専門家、ディストリビュータ、研究者、小売業、保険業などとも組む。IoTシステムが全ての産業のDXの基礎技術だからである。

技術的にもセキュリティを製品に組み込むためのフレームワークを作り始めている。最初からセキュリティ全体の事項を考慮することは難しいため、製品設計の設計者はチェックリストに沿って設計していけばセキュリティ項目が取り入れられるようにしておく。チェックリストはなるべく簡単にしていく必要があるという。

英国で生まれのIoT Security Foundationは、世界各地にも展開しようとしている。草の根運動のように、世界各地でIoTをセキュアにしようという活動が展開されると、攻撃を受けた時の状況や、解決したときの情報をみんなで共有し、素早く対処できるからだ。実際、海外第1号はルーマニアのブカレストにIoT Security Foundationが出来た。ここではセキュアなIndustry 4.0を推進する。

今回来日した派遣団は、英国政府のファンド部門が主体となっている。日本における経済産業省傘下のNEDO（新エネルギー・産業技術総合開発機構）と似たような部門である。UKRI（UK Research and Innovation）と呼ばれる部門でここが様々な分野に存在するイノベーションに投資する。しかも様々な部門といってもバイオテクノロジーや医療研究、科学技術など9つの部門からなる。エレクトロニクスやモノづくりではEPSRC（Engineering and Physical Sciences Research）が担当し、革新的な技術ではInnovate UK（参考資料3）が担う。

Innovate UKは、革新的な製品やサービスを生み出すスタートアップ企業を資金提供の形で支援する。企業が成長すれば経済成長へとつながるからだ。最近ではAIやデジタル経済社会、製造業、デバイスなどの企業に投資する。革新的な企業は一般に、技術はあるが、資金力がない。彼らは市場を見ながら製品を販売し利益を生み出せるように、政府系ファンドが資金を提供する。ベンチャーキャピタル（VC）は、株式などエクイティを求めるが、Innovate UKは補助金を出すが、見返りは求めない、とInnovate UKのGeorgios Papadakis氏は語る。

参考資料
1. "The Home of IoT Security Best Practice and Next Practice", IoT Security Foundation
2. 「グローバルの力を活用することが成功へのカギ」、セミコンポータル (2007/12/03)
3. Innovate UKホームページ