悪意を持ったプログラム生成に利用される可能性も

　幅広い領域での業務の効率化が期待されている一方で、SIOTP協議会は、経済安全保障におけるサプライチェーンの安全性を実現するため、国際標準を軸にIoTをとりまく環境を俯瞰し、協議会の立場での考察をまとめた。今回はその第6弾となるドキュメントとなる。

　サイバーセキュリティ上の脅威については、いままで専門知識をもつ人間や組織しか開発できなかったマルウェアなどの悪意を持ったプログラムの生成に活用される可能性を含んでいることを憂慮。その結果、今まで以上にマルウェアが広く生成、流布され、犯罪に悪用される脅威があることは無視できないとした。

　ChatGPTにはそうした悪用を防ぐために、不適切な問いには回答を拒否するセキュリティフィルタなどの安全上の制限がかけられているが、残念ながらそれをかいくぐるような手段も研究され、対策に限界もあるのが現状だ。

　IoTシステムでも、悪意を持ったコードが生成され、気づかれないうちに機器に混入・実装される可能性がある。そうしたIoT機器が産業用途で活用され、M2Mで何らかのインタラクションが発生した場合に、機密情報や知財の漏洩に繋がる。コンシューマ用途で利用される機器に混入した場合も、プライバシー侵害や情報漏洩に繋がることは否定できないとした。

ソフトウェアサプライチェーンの安全性強化が喫緊の課題

　こうした環境変化を前提に、悪意を持ったプログラムの混入を防ぐためには、ソフトウェアサプライチェーンの安全性を強化することが喫緊の課題。具体的対策としては、生成されたプログラムをコード署名により安全性を担保することや、ソフトウェアの部品表ともいえる SBOM（Software Bill of Material）による管理が必要としている。

　さらにChatGPTを使って、偽のSBOMを生成されることさえ考えられる。そのため確実な本人性確認と、署名対象の真贋を立証できることが重要なことも忘れてはならないとした。

　ChatGPTの出現でソフトウェアサプライチェーン管理の重要性がさらに拡大し、IoTシステムの安全性確立に向けての動きをさらに加速する必要が高まってきた。特に多くのIoTシステムでオープンソースが活用されていることを考慮すると、産業界だけでなく、コミュニティと連携したセキュリティ対策支援に力を入れていくことが重要としている。

　■『IoTセキュリティ観点におけるChatGPTに対する考察』
　https://www.secureiotplatform.org/wp-content/uploads/report_20230515.pdf