IoTやAIなどの新たな技術の進展によりシステムの活用範囲が広がり、あらゆるものがインターネットに接続されるようになりました。

生活の利便性や業務の生産性向上が期待される一方で、インターネットに接続することにより生じるリスクもあります。IoTデバイスがインターネット経由でウイルスに感染して情報漏えいやサイバー攻撃の踏み台に悪用される可能性があるのです。PCと同様にIoTデバイスに対するセキュリティ対策を行うことが必要ですが、盲点となりがちなのが特権アカウントのリスクです。

本コラムでは、IoT/AIの進展に伴う特権アカウント管理をテーマに解説します。

広がるIoT/AI技術の活用

近年、IoT/AIなど新たな技術を活用したビジネスが次々と登場しています。モノが直接インターネットにつながることにより、遠隔から操作ができるようになったり、人に代わって処理してくれるようになりました。

例えば、家電がインターネットとつながることで、外出先から操作ができるようになったり、ペット見守りデバイスがペットの様子を判断して適切なタイミングでえさやりを行うなどサービスに活用例されています。

ビジネス（BtoB）においても、製造業における生産ラインの見える化や保守・運用の効率化、顧客需要の予測など、多くの分野においてIoT/AIの技術が活用されています。

IoTデバイスに潜む脆弱性

新たな技術を採用する場合、その利便性やメリットが注目されがちですが、それによって生じるリスクやデメリットについて見逃される場合があります。

IoT/AIにおけるリスクでよく言われるのが、IoTデバイスに対するセキュリティ上の脆弱性の話です。

インターネットにつながるルーターなどのネットワーク機器や監視カメラのセキュリティが甘く、それらの機器を乗っ取って操作したり、機器を踏み台にして大規模なDDos攻撃を引き起こされた事件などが発生しています。多様なデバイスがインターネットにつながることで生じるセキュリティ上のリスクが課題視されています。

ビッグデータをセンターに集約する場合のセキュリティの懸念

一方、IoT/AIで展開されるビジネスモデルの中には、IoTデバイスで収集した情報をセンターに集約することでビッグデータとして解析し、そこから得られた結果に基づき、ある判断が下されるようなセンター集約型のモデルがあります。

このようなセンター集約型のモデルの場合は、IoTデバイスなどのセンサー側だけでなく、従来システムと同様にセンター側のセキュリティ対策も重要になってきます。

下表は、システムの種類によってセキュリティ侵害を受けた場合の影響とリスクの性質を整理した表になります。

システム種別	影響範囲とリスクの性質	備考
社内基幹システム（会計・販売・購買など）	社内業務の停止 財務諸表など会計・業務データの滅失	社員のマニュアル対応などで業務を継続するなどして、お客様への影響を最小限にとどめることが可能。
オンラインシステム/顧客情報保有システム	直接の販売機会の喪失 顧客情報の流出	顧客との直接の接点であるシステムが停止すると、直接販売機会を逸するなどの損害につながる。
IoT/AIシステム	モノ・デバイスを直接制御されることによる異常処理 大量のセンサー情報の漏えい	データセンターとモノ・デバイス間との情報連携により、人を介さずモノ・デバイスへ直接制御が行わることでリスクも増大。

企業内に情報システムが取り入れられた当初の基幹システムは、主に社内の経理・財務をはじめとする社内業務の効率化を担う目的のものでした。したがって、仮にセキュリティ侵害等によって影響を受けたとしても、直接顧客にサービスを提供するものではないため、社員によるマニュアル対応などで、ビジネスへの影響を最小限に食いとどめることは一定範囲可能でした。

しかし、インターネットが普及し、ECサイトやBtoB向けオンラインシステムで顧客や仕入先が直接システムとやり取りを行う状況になると、システムの停止によって直接の販売機会等を喪失することになり、その影響は大きくなります。
また、オンラインで顧客や取引先の要求を処理する都合上、システム上に顧客情報を持っておく必要があるため、セキュリティ侵害による個人情報や顧客情報、クレジットカード情報の流出というリスクも生じることになり、これらの対処が必要となりました。

IoTデバイスから集められた大量の情報一つ一つは個人情報のような機密性はないかもしれません。しかしそれらの大量の情報をもとにして得られた解析結果は、企業にとっての知的財産であり、他社では得られない独自のノウハウといった性質を持つものです。

また、ビジネスモデルによっては、解析結果から下された判断によって、人を介さずIoTデバイスに対して直接指示・命令を下すようなケースも想定されます。そのような場合、センターのセキュリティ侵害や情報の不正な操作によりIoTデバイスに対して誤った指示・命令を下してしまうリスクも想定する必要があります。デバイスの種類によっては、IoTデバイスの誤動作が人体に影響を及ぼす可能性もあります。

IoT/AIシステムにおけるセキュリティ対策の考え方

様々な可能性を秘める一方、リスクも正しく認識し対処が必要なIoT/AIシステム。

IoT/AIシステムにおけるセキュリティ対策において重要な点は、IoT/AIシステムだからといって、固有の技術が必要ではないということです。システムの保守・運用を行う立場からすると、どのようなシステムであったとしても、一貫性を以て取り組むことこそが、安全で安定的な情報システムを実現できる秘訣です。ビッグデータとして大量の情報を保持する場合、特権アカウントの管理はセキュリティ対策の最後の砦としてより重要性が高いといえます。

IoT/AIを戦略的なITとしてビジネスの飛躍を実現する可能性は、すべての企業にあります。しかし新たな技術については、そのメリットだけを考えるのではなく、リスクやデメリットをしっかりと認識して必要な対処を行うことで初めて本格的な活用ができるといえます。

ホワイトペーパー「特権ID管理のAtoZ」では、特権IDの基礎から管理のベストプラクティスまで紹介しています。基本的な考え方やシステム多様化によるリスク、ツール選定のポイントなど幅広く解説しておりますので、ぜひご参考ください。