IoTセキュリティの体験ワークショップに参加してみた

ホームネットワークのセキュリティ課題に挑戦し、IoT開発者の苦労がわかりました。

「嫌な予感がする」は、スター・ウォーズの世界で何度も登場するおなじみの台詞です。シリーズ全体を通じて繰り返されるこの「お約束」は、ちょっとしたユーモアを感じさせると同時に「来るぞ、来るぞ」という期待感を煽る存在でもあります。まあ、そういったものは、私の日常生活とは無縁のものですが。

どうも様子が変わったのは、2018年度のKapersky Security Analyst Summit(英語)に参加したときのことでした。今年は、カンファレンス2日目に各種ワークショップ(英語)が企画されました。「モノのインターネット」のワークショップでリーダーを務めたデニス・マクルーシン(Denis Makrushin)が言うように、従来のようにプレゼンを聞いてもらうのではなく、実践的な体験をしてもらうことが、ワークショップの趣旨なのです。また、専門性の高いセキュリティリサーチャーだけではなく、来場した多様なカンファレンス参加者が対象でもありました。

カンファレンスに参加型の要素を加えるのは良い考えに思われました。ただ、コミュニケーションとマーケティングが専門の私自身の場合、ワークショップに参加するとしたら、来場者やSNSのフォロワーを対象にセッションの認知度を高める役目を担うことになりそうです。私はマクルーシンに、ポッドキャストでの対談を打診しようとしていました。どう話を持ちかけようかと思案しながらワークショップの会場に入っていくと、マクルーシンは思わぬことを言い出しました。「オーケー、ポッドキャストはやろう。ただし、きみはこのワークショップに参加するんだ」

嫌な予感がする。

カンファレンスのハンドブックによると、このワークショップはモノのインターネットすなわちIoTについての体験型学習で、具体的にはIoTデバイスのセキュリティを詳しく調査することになっていました。インターネットに接続されたデバイスのセキュリティをどのようにして強化できるかを考える、とあります。

これは、テクノロジー分野における私の「コンフォートゾーン」を逸脱した内容に思えました。確かに、以前Raspberry PiでRetropiシステムを組んだことはありますが、あれはただゲームをエミュレーターにドラッグアンドドロップするだけでした。

課題

デイビッド・ヤコビー(David Jacoby)から手招きされ、ワークショップのためにセットアップ中だったRaspberry Piのキーボードの前に座るよう促されると、不安がますます募ってきました。会場入りした最初の参加者である私に、ヤコビーが流れを説明してくれたところによると、これから1時間ちょっとの間、チームの一員となり、別のチームと競争しながら、一定の条件を満たすホームセキュリティデバイスを構築することになるようでした。条件とは次のとおりです。

  1. オープンソースの技術をベースとしていること。
  2. ネットワークのセグメント化が行われていること。
  3. VPN経由でアクセス可能であること。
  4. 既定のパスワードに戦いを挑むこと。
  5. 誰でも使用できること。

なるほど、シンプルだ。嫌な予感がする。

開始時刻が近づくにつれて参加者が集まり出し、ワークショップを仕切るヤコビーとマルコ・プロイス(Marco Preuss)は参加者を2つのチームに分けました。相手のチームには、セキュリティのさまざまな分野で働いている人たち。私のチームは、Kaspersky Labの広報担当である同僚、どこかの記者、それから私。まさか。

セッション開始直前になって、コーディングができるという男性とソフトウェア開発者が私たちのチームに加わり、少しばかり先行きが明るくなりました。それからヤコビーが、時間の制約があるため(カンファレンスの閉幕式が近づいていました)、実際に動作するデバイスを構築するのではなくデバイスの構想を話し合うことにしようと言いました。私たちは安堵のため息をつきました。

完璧なインターネット接続デバイスを考案する

こうして、私たちは紙とペンを手に、オープンソース技術を使ってスマートホームのセキュリティをどう確保するかを話し合いました。最初に決めたのは、Raspberry Piをルーターとして使用するのか、それともファイアウォールとして使用するのかです。それぞれに利点がありますが、私たちはOpenDNSをデータテーブルと共に用いて許可リストを作成することにしました。VPNについては、OpenVPNとPiVPNを稼動させます。また、ネットワーク上のデバイスに自分たちの証明書を割り当て、理論上の「家」を訪れる人々のためにゲストネットワークを用意することにしました。

私たちは、自チームのプランにかなり満足していました。それほど難しいものでもないじゃないか。さまざまなアイデアを1時間ほど話し合った後、ヤコビーとプロイスを相手に各チームの構想を発表する時間になりました。

先に発表したチームの製品構想に2人がダメ出しを始めても、私たちには余裕がありました。対抗チームの案が指定の条件を満たさないという10の指摘を聞いた後、私たちの番が回ってきました。これは確実に100万ドル相当のアイデアだろうと自信たっぷりの構想を、我らがチームの発表担当者は見事にプレゼンしました。しかし、審査員の考えは違ったようで、問題点が次から次へと指摘されました。

それほど簡単ではない

結局、これこそがワークショップの趣旨だったのです。私たち記事を書く人間は、IoTに関する大規模なセキュリティ事故やセキュリティの欠陥について書くたびに、IoT開発者はセキュリティを最優先にすべきだという呼びかけを安易に結びの言葉としがちです。しかしこのワークショップで、安全で使用に耐える製品を実際に生み出すことが、コンセプトを考え出すのに比べていかに難しいか、身をもって学ぶことができました。

スマートホームのセキュリティを確保することは、思った以上に難易度が高いのです。ワークショップで「セキュリティアナリストごっこ」をしてみた一介の参加者が、すべてのモノを保護する魔法のような製品を考え出すことなどできるはずがないのです。

このワークショップでは、私たちチームメンバーは各自の「コンフォートゾーン」を出ることを余儀なくされ、インターネット接続デバイスの増加に伴い人類が直面しつつあるまさにリアルな問題について否応なく考えさせられました。参加者の製品構想自体は「失敗」に終わりましたが、研究の結果をただ座って聞くのではなく能動的に課題に取り組むこのワークショップは、私にとってこのカンファレンス #TheSAS2018 の中で特に印象深いセッションとなりました。

ヒント