これからのセキュリティを考える上で、注視すべきポイントがもう1つあります。それが、「IoT」です。

　近年、日本政府は「Society5.0」というコンセプトを打ち出しています。これはサイバー空間とフィジカル（現実）空間が高度に融合した社会です。狩猟や農耕、工業、情報の次に来る5番目の新たな社会ということで「5.0」という数字が付いています。

　Society5.0が実現されることで、社会に大きな便益がもたらされると想定されています。しかし、そこには大きなリスクも存在すると小山氏は指摘します。

「Society5.0では、本社、営業所などの拠点に加えて、これまでは独立していた工場、プラントなどもネットワークでつながるようになります。さらにはインターネットを介して他社クラウド、オープンデータとして活用されるようになるでしょう。そのため、自社内でしっかり対策を行ったとしても、セキュリティレベルの低い接続先、IoT端末などが標的となり被害を受ける可能性があるのです」（小山氏）

　ここで大きな問題になってくるのは、IoTのセキュリティを“誰が守るのか”という点です。

「PCにはWindowsなどのOSが入っており、定期的に自動で更新されます。OSで機能するアプリケーションもアップデートで脆弱性対策を行い、マルウェアなどに備えたウイルス対策ソフトも豊富に揃っています。ところが、IoTの世界にはそれらがありません。例えば、監視カメラには、OSやアプリケーションが自動更新される仕組みも、マルウェアに対策できるソフトウェアも存在しません」（小山氏）

　IoTが悪用された事例として、小山氏は2015年7月にハッカーが自動車を遠隔操作した海外の事例に言及します。「この事例では大事に至りませんでしたが、遠隔操作によって事故が起きる可能性もありました。もし事故が起これば、自動車を製造した企業がその責任を問われる可能性もあります。IoTのセキュリティは“誰が守るのか”、そのルールが明確でないため、メーカー自身が対処しなければいけません」

　つまり、IoTの世界においては、セキュリティ対策が専門家ではなく、各企業の手に委ねられるようになるのです。ところが、日本企業は、海外に比べてIT内製率が非常に低く、いざセキュリティ対策に取り組もうとしても社内に人材がいないということも珍しくありません。小山氏は、「これからは、ITの内製率を高め、社内の人材を育成するというセキュリティ対策が必要になります」と指摘します。