エンカレッジ・テクノロジ通信 連動コラム

第8回:システム多様化とともに盲点となりがちな特権アカウントのリスク 【その3 IoT/AI】

2017年4月より連載してまいりましたコラム「毎月5分で学ぶ特権アカウント管理のAtoZ」もいよいよ終盤。前回、前々回に引き続き、システムの多様化によって盲点となりがちな特権アカウントのリスクについて説明します。

今回はIoT/AIにおける特権アカウント管理がテーマとなります。

IoT/AIで広がる可能性

IoT
今、IoT/AIのビジネス活用が注目されています。モノが直接インターネットにつながることにより、遠隔から操作ができるようになったり、人に代わって処理してくれるようなことが可能になってきます。

例えば、家電がインターネットとつながることで、外出先から操作ができるようになったり、ペット見守りデバイスが、ペットの様子などから適切なタイミングでえさやりを行うなどの活用例が出てきています。

ビジネス(BtoB)においても、製造業における生産ラインの見える化や保守・運用の効率化、顧客需要の予測など、多くの分野において先進的な取り組みが始まっています。

新たな技術の利便性とリスク

コラム第6回の冒頭で申した通り、新たな技術を採用する場合、とかくその利便性やメリットが注目されがちですが、それによって生じるリスクやデメリットについて見逃される場合があります。IoT/AIにおけるリスクでよく言われるのが、IoTデバイスに対するセキュリティ上の脆弱性の話です。

インターネットにつながるルーターなどのネットワーク機器や監視カメラのセキュリティが甘く、それらの機器を乗っ取って操作したり、機器を踏み台にして大規模なDDos攻撃を引き起こされた事件などが発生しており、多様なデバイスがインターネットにつながることで生じるセキュリティ上のリスクが課題視されています。

ビジネスモデルによっては、センター側のセキュリティ侵害の影響も

一方、IoT/AIで展開されるビジネスモデルの中には、IoTデバイスで収集した情報を、センターに集約することでビッグデータとして解析し、そこから得られた結果に基づき、ある判断が下されるようなセンター集約型のモデルがあります。

このようなセンター集約型のモデルの場合は、IoT機器などのセンサー側だけでなく、従来システムと同様にセンター側のセキュリティ対策も重要になってきます。
下表は、システムの種類によってセキュリティ侵害を受けた場合の影響とリスクの性質を整理した表になります。

システム種別 影響範囲とリスクの性質 備考
社内基幹システム
(会計・販売・購買など)
社内業務の停止
財務諸表など会計・業務データの滅失
社員のマニュアル対応などで業務を継続するなどして、お客様への影響を最小限にとどめることが可能。
オンラインシステム
顧客情報保有システム
直接の販売機会 喪失
顧客情報の流出
顧客との直接の接点であるシステムが停止すると、直接販売機会を逸するなどの損害につながる。
IoT/AIシステム モノ・デバイスを直接制御されることによる異常処理
大量のセンサー情報の漏えい
データセンターとモノ・デバイス間との情報連携により、人を介さずモノ・デバイスへ直接制御が行わることでリスクも増大。

企業内に情報システムが取り入れられた当初の社内基幹システムは、主に社内の経理・財務をはじめとする社内業務の効率化を担う目的のものでした。したがって、仮にセキュリティ侵害等によって影響を受けたとしても、直接顧客にサービスを提供するものではないため、社員によるマニュアル対応などで、ビジネスへの影響を最小限に食いとどめることは一定範囲可能でした。

その後、インターネットが普及し、ECサイトやBtoB向けオンラインシステムで顧客や仕入先が直接システムとのやり取りを行う状況になると、システムの停止によって直接の販売機会等を喪失することになり、その影響は大きくなります。また、オンラインで顧客や取引先の要求を処理する都合上、システム上に顧客情報を持っておく必要があるため、セキュリティ侵害による個人情報や顧客情報、クレジットカード情報の流出というリスクも生じることになり、これらの対処が必要となりました。
loupe

IoT/AIシステムについては、どうでしょうか?

IoTデバイスから集められた大量の情報一つ一つは個人情報のような機密性はないかもしれません。しかしそれらの大量の情報をもとにして得られた解析結果は、企業にとっての知的財産であり、他社では得られない独自のノウハウといった性質を持つものです。


また、ビジネスモデルによっては、解析結果から下された判断によって、人を介さずIoTデバイスに対して直接指示・命令を下すようなケースも想定されます。そのような場合、センターのセキュリティ侵害や情報の不正な操作によりIoTデバイスに対して誤った指示・命令を下してしまうリスクも想定する必要があります。デバイスの種類によっては、IoTデバイスの誤動作が、人体に影響を及ぼす可能性もあります。

採用事例のご紹介

様々な可能性を秘める一方、リスクも正しく認識し対処が必要なIoT/AIシステム。本格的な活用はまだまだ先と思われているかもしれませんが、弊社製品を使ったIoT/AIシステムにおけるセキュリティ担保の先進的な取り組みが既に始まっています。

先進事例:エンカレッジ・テクノロジの証跡管理ソリューションをトランスネットが採用

交通や情報通信などの公共性の高い分野を中心に事業を手掛けるトランスネットは、重要インフラを担う企業のIoT基盤の保守・運用を行うにあたり、特権アカウントを使用した不正アクセスを防止するための一環として、ESS RECをご採用いただいています。
up
ここでの重要な点は、IoT/AIシステムだからといって、固有の技術が必要ではないということです。システムの保守・運用を行う立場からすると、どのようなシステムであったとしても、一貫性を以て取り組むことこそが、安全で安定的な情報システムを実現できる秘訣であるからです。
IoT/AIを戦略的なITとしてビジネスの飛躍を実現する可能性は、すべての企業にあります。しかし新たな技術については、そのメリットだけを考えるのではなく、リスクやデメリットをしっかりと認識して必要な対処を行うことで初めて本格的な活用ができると言えます。

弊社では、企業の新たな取り組みを、これからも支えていきたいと考えています。