モノのインターネット(IoT)のセキュリティ危機は10年以上前から深刻化しており、保護されていないパッチ適用不可能なガジェットがボットネットの活性化を招き、国家による監視を目的とした攻撃を受け、ネットワークの弱点となっている。IoTセキュリティがすぐに劇的に改善する可能性は低いため、研究者や規制当局はIoTリスク管理のための新たなアプローチに注力している。組み込み機器の栄養成分表示のようなものと考えれば良いだろう。
先月開催されたIEEEセキュリティ&プライバシーシンポジウムにおいて、カーネギーメロン大学の研究者たちは、IoTデバイスの所有者やプライバシーおよびセキュリティの専門家へのインタビューと調査に基づいて作成したセキュリティとプライバシーのラベルのプロトタイプを発表しました。また、ラベル生成ツールも公開しました。このラベルの目的は、デバイスのセキュリティ体制を明らかにするだけでなく、ユーザーデータの管理方法やプライバシー管理について説明できるようにすることです。例えば、ラベルには、デバイスがセキュリティアップデートを受けられるかどうか、企業がサポートを約束している期間、搭載されているセンサーの種類、収集されるデータ、企業がそのデータを第三者と共有するかどうかなどが記載されています。
「IoT環境では、ユーザーに関するセンサーや情報の量は、潜在的に侵入的で遍在的になります」と、このプロジェクトに携わったネットワークおよび組み込みシステムの研究者、ユブラジ・アガルワル氏は語る。「まるで漏れているバケツを修理しようとするようなものです。ですから、透明性が最も重要です。この研究は、消費者にとってのあらゆる選択肢と要素を示し、列挙しています。」
提供:IoTカーネギーメロン大学
包装食品の栄養成分表示は世界中である程度標準化されていますが、それでもなお、本来あるべき姿よりも不透明です。また、セキュリティとプライバシーの問題は、水溶性食物繊維と不溶性食物繊維よりも、ほとんどの人にとって直感的に分かりにくいものです。そこでCMUの研究者たちは、IoTラベルを可能な限り透明でアクセスしやすいものにすることに注力しました。そのために、ラベルにはプライマリラベルとセカンダリラベルの両方が組み込まれました。プライマリラベルはデバイスの箱に印刷されます。セカンダリラベルにアクセスするには、URLにアクセスするかQRコードをスキャンすることで、デバイスに関するより詳細な情報を確認できます。
「この情報がリスクをもたらすのか、そして参加者がこの情報の意味を本当に理解しているのかを理解したかったのです」と、この研究を主導したプライバシー研究者のパーディス・エマミ=ナエイニ氏は述べています。「この研究から、いくつかの要素が非常に重要であることがわかりました。例えば、データが第三者に共有または販売されている場合、人々は非常に懸念を抱いています。そして、これが人々のリスク認識を大きく変えました。デバイスに多要素認証が搭載されているかどうかも同様です。」
セキュリティとプライバシーのラベルプロジェクトのもう一つの重要な側面は、情報が機械で読み取り可能なようにエンコードされていることです。これにより、たとえ異なる国や業界が独自の評価ツールを開発しても、すべてのデータを比較・処理することが可能になります。研究者たちは、ラベルのデータによって、プライバシーとセキュリティ機能で製品を検索しやすくなり、消費者が調査しにくいニッチな項目ではなく、製品選びの主流となる可能性を指摘しています。eコマースウェブサイトでは、価格、重量、画面サイズなどで既に提供されているように、プライバシーとセキュリティ機能のフィルターを提供することも可能です。こうすることで、消費者はデジタルセーフティを要素の一つとして、購入する製品について意図的な選択を行うことができるようになります。
研究者たちは、このラベルに民間企業や議会から多くの関心が寄せられていると述べています。しかし、これまでのところ、架空の製品に基づいたサンプルラベルや、公開データに基づいた実製品の模擬ラベルの作成しかできていません。研究者たちは、製品に関する正直な情報を提供し、より本格的にラベルの試験運用を行ってくれるメーカーを探しています。
こうした種類のテストを実施する動きは活発化しています。フィンランド、シンガポール、そして英国は、いずれもセキュリティに重点を置いた国家IoTラベルプログラムに取り組んでいます。また、米国議会ではIoTセキュリティ法案がいくつか審議されていますが、商務省傘下の国家電気通信情報局(NTIA)は、ソフトウェア分野における同様のプロジェクトに積極的に取り組んでいます。その構想は、単一のソフトウェアプログラムまたはプラットフォームに組み込まれる様々なオープンソースおよびサードパーティ製コンポーネントを業界が把握できるよう、ソフトウェアの「部品表」を作成することです。
「食品の原材料表示が、どれだけの砂糖やナトリウムを摂取しているかを人々に知らせるのと同じように、標準化は役立つと思います」と、ソフトウェア監査会社Veracodeの最高技術責任者、クリス・ワイソパル氏は語る。「ソフトウェアの部品表を標準化すれば、消費者は自分が何を手に入れるのかをより明確に理解できるようになります。」
研究者たちは、研究が長期的な影響を与えるためには、メーカーによる広範な自主的なラベル導入、あるいは政府による義務化が必要だと現実的に考えている。しかし、だからこそメーカーが消費者に自らの選択を説明できる余地を残したラベルを設計したのだ、と彼らは述べている。
「サーモスタットにマイクが搭載されているのには、本当に正当な理由があるのかもしれませんが、メーカーがそれを教えてくれなければ、驚くでしょう」と、カーネギーメロン大学のユーザブルプライバシー&セキュリティ研究所所長のロリー・クレイナー氏は言う。「もしメーカーがマイクについて事前に説明し、その理由を説明してくれたら、『なるほど、なるほど』と思うかもしれません」
一般的に、消費者はプライバシーやセキュリティ機能にプレミアム料金を支払うことはないと言われています。しかし、研究者たちは、読みやすいラベルは人々が潜在的なリスクをよりよく理解し、強力な保証のためにより高い料金を支払う意思を高める可能性があるという予備的な調査結果を得ました。この調査結果をさらに詳しく検証するにはさらなる調査が必要であり、広範なテストを行う最も簡単な方法は、企業がIoT製品にセキュリティとプライバシーのラベルを採用し始めることです。近い将来、IoTのプライバシーラベルが店頭に並ぶことはおそらくないでしょう。しかし、その重要性は高く、何かを変える必要があることは間違いありません。
WIREDのその他の素晴らしい記事
- 新型コロナウイルス感染症はAI医療革命を加速させる
- Clubhouse とは何ですか? そしてなぜシリコンバレーが関心を持っているのですか?
- 世界が崩壊するとき、どうやって眠るか
- ビデオチャット陪審と刑事司法の未来
- 島でのゲームをレベルアップさせる「どうぶつの森」 26のヒント
- 👁 脳はAIの有用なモデルとなるのか?さらに:最新のAIニュースもチェック
- 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう
