TOP»コラム・記事»IoT製品に求められる「中小メーカー向けセキュリティ対策」を知る

コラム

DX全般

2024.07.24

IoT製品に求められる「中小メーカー向けセキュリティ対策」を知る

イメージ



経済産業省はIoT機器を開発する中小メーカーに向け、製品のセキュリティ対策を提示した「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を策定しました。製造するIoT機器について、設計や開発の段階からセキュリティ対策を講じる重要性を説いた同ガイドには、機器開発の方針・体制構築から運用・保守までのライフサイクルフェーズを通じたセキュリティ対策が整理されています。ここではIoT機器メーカーがセキュリティ対策を進める際に取り組むべき事項など、同ガイドの内容を要約して紹介します。IoT製品を選定・導入するユーザー企業の担当者にも、ぜひ押さえてもらいたいポイントです。


IoT機器メーカーが直面するセキュリティのリスク

IoTソリューションの普及が進むなか、多くの企業がIoT機器の開発・製造に参入しています。近年は自社で設計・開発した機器の製造を海外メーカーに委託する、いわゆるファブレス(自社生産工場を持たない)企業が増えており、その傾向は日本も例外ではありません。

一方、IoT機器の脆弱性を狙ったサイバー攻撃の勢いは衰えておらず、国立研究開発法人情報通信研究機構(NICT)が公表した大規模サイバー攻撃観測網の観測レポートでも、IoT機器に関連したサイバー攻撃の通信が上位を占めています(「NICTER観測レポート2023」https://www.nict.go.jp/press/2024/02/13-1.html)。

これはセキュリティ対策の不十分なIoT機器が少なくないことの証左であり、悪意のある攻撃者による不正操作、データの奪取・改ざん、身代金の要求、システムの機能停止といった被害を受ける危険性が指摘されています。

このようなサイバー攻撃へのセキュリティ対策については、IoT機器を利用するユーザー側が講じるべきだという意見もあります。しかし、IoT機器を開発・製造するメーカー側の責任が問われないわけではありません。実際に米国では、ネットワークカメラの脆弱性を悪用した不正アクセスの被害を受けたユーザーが、メーカーに対して500万ドルの賠償を求める集団訴訟を起こしたという事例もあります。

自社製品を海外に輸出している日本メーカーにとっても決して他人事ではなく、会社が被る経済的損失・社会的信頼損失を回避するためにも、開発・製造するIoT機器のセキュリティ対策へ十分に配慮することが求められているのです。

そこで、経済産業省がIoT機器を開発する国内中小メーカー向けにまとめたのが「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」です。このガイドには、IoT機器の設計・開発段階からセキュリティ対策を考慮することの重要性が訴求されているとともに、機器のライフサイクルごとに取り組むべき事項を整理しながら具体的なセキュリティ対策を明示しています。

IoT機器を開発する中小企業向け製品セキュリティ対策ガイド
https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf

必要なセキュリティ対策をわかりやすく解説

同ガイドは表題に“中小企業向け”とあるように、 IoT機器を開発する中小企業の経営者/セキュリティ担当者/開発担当者/品質管理者を想定読者としています。中小企業はさまざまな経営課題の中でセキュリティ対策に取り組む優先順位が低くなったり、セキュリティ担当者が別の業務を兼務したりするケースも多いため、そうした中小企業でも取り組むべきセキュリティ対策の実施事項をわかりやすく解説しているのが、このガイドの大きな特徴です。もちろん会社の規模に関わらず、IoT機器全般のセキュリティ対策としても参考にできる内容となっています。

ガイドの冒頭には、IoT機器のセキュリティ対策についての基本的な考え方が示されています。製品にセキュリティ対策が実装されているかどうかを確認するにはセキュリティ検証が有効ですが、出荷直前の検証で問題が発見されても対処が難しいので、設計・開発段階からセキュリティ対策を考慮することが重要だと改めて説明しています。

そのうえで、IoT機器開発のライフサイクルを①方針・体制構築、②設計・開発、③検証、④運用・保守の4つのフェーズに分け、各フェーズにおける「セキュリティ対策に取り組もうとする企業が最初に検討すべき事項」が示されています。さらに②設計・開発のフェーズにおいて「セキュリティ対策に取り組もうとする企業が最初に検討すべき主な技術的対策」も説明されています。

セキュリティ対策ガイドで示された対策の全体像

中小企業のセキュリティ対策事例も紹介

各フェーズで求められる対策は「方針・体制構築フェーズで求められる対策」「設計・開発フェーズで求められる対策」「検証フェーズで求められる対策」「運用・保守フェーズで求められる対策」に分けて、それぞれ具体的な内容が示されています(表1)。

項目最初に取り組む主な対策
方針・体制構築フェーズで求められる対策 【対策1】 製品に関するセキュリティポリシーを策定・周知する •経営者が率先して、製品に関するセキュリティポリシーを策定し、広報や教育によって社内に浸透させる。
•実施状況や社会的な要求事項の変化を踏まえ、ポリシーの見直しを行う。
【対策2】 セキュリティポリシーを適切に運用するための体を整備する•セキュリティポリシーを適切に運用するために必要な関係者や組織の洗い出しを行い、それぞれの役割や責任を明確化する。
設計・開発フェーズで求められる対策【対策3】 IoT機器等において守るべきものを特定し、それに対するリスクを想定する•想定されるユーザーおよびユースケースを定める。
•ユーザーのセキュリティニーズについて検討し、守るべきものを特定する。
•守るべきものに対する多様なリスクを想定する。
【対策4】 守るべきもの及びリスクを考慮した設計・開発を行う•対策3で想定したリスクをもとに、設計・開発の段階からリスクへの対策をIoT機器に施す。
•自社での実施が難しい場合は、機器検証サービス事業者等の専門家に設計・開発段階におけ るセキュリティ対策の考慮事項について助言を受けることも有効。
検証フェーズで求められる対策【対策5】 セキュリティに関する要件が満たされているかを検証する•設計・開発段階から検証計画を立て、セキュリティに関する要件が満たされているか検証し、そ の結果を踏まえて改善を行う。
運用・保守フェーズで求められる対策【対策6】 出荷後もリスクに関する情報の収集や関係者とのコ ミュニケーションを行い、適切なサポートを行う•世の中で発生している事故やインシデント、脆弱性情報を収集する。自社製品または構成 要素に脆弱性が存在する場合、脆弱性によって生じる被害の発生可能性や影響を検討し、リス クに応じた対応を検討する。自社製品に関する問題が見つかった場合は、適切に情報提供を 行うほか、セキュリティパッチによる対応を行う。
•製品を選ぶ際に参考となる情報の提供や正しい利用の促進のため、セキュリティに関する機能 や利用する際の注意点(サポート期間や廃棄に関する点を含む)について、パッケージや取扱説明書、製品情報を掲載しているWebサイト等にわかりやすく記載する。
•外注先やユーザと適切なコミュニケーションを実施するための窓口や、JPCERT/CCと脆弱性やインシデントに関する情報のやり取りを行うための窓口を設置する。


表1:各フェーズで求められる対策

設計・開発フェーズにおける技術的対策については、IoT機器が提供する機能の特徴ごとにまとめられています(表2)。また、総務省・経済産業省の「IoTセキュリティガイドライン」、米国立標準技術研究所(NIST)の「NISTIR 8259」といった国内外のガイドライン・指針の項目と技術的対策との対応も明記されています。

機能等の特徴主な技術的対策対策
(1)通信機能を提供する IoT機器A) 認証・認可機能の提供•IoT機器のユーザーの認証・認可機能を提供する。
•IoT機器の通信先認証の機能を提供する。
B) アップデート機能の提供•出荷後に新たな脆弱性が検出されることを想定し、ソフトウェアやファー ムウェアをアップデートできるようにする。
C) ログの保存機能の提供•IoT機器の重要な操作や通信のログを保存する。
(2)データの送信・保存機能を有する IoT機器A) データの暗号化・保護機能の提供•ユーザーの個人データや設定データ及びプライバシに関するデータを暗号 化して保存・送信できるようにする。
B) データの削除機能の提供•ユーザーがIoT機器の利用を終了し、廃棄、返却する際に、個人データ、 設定データおよびプライバシに関するデータを削除できるようにする。
(3)高い可用性が求められる IoT機器A) システムの復旧の提供•高い可用性が求められる機能については、機能停止時の復旧方法を提供する。
B) 異常検知機能の提供•IoT機器の動作異常を検知できる機能を提供する。

表2:設計・開発フェーズで検討すべき主な技術的対策

さらにガイドの有用性を高めているのが、IoT機器を開発する中小メーカーのセキュリティ対策事例が紹介されていることです。

事例には対策のポイント、対策内容、対策に力を入れたことによるメリットなどが書かれているので、状況に応じてどのような対策を講じればよいのかを具体的に理解することができます。

IoT機器を開発する国内の中小メーカーは、このガイドを積極的に活用することを強くお勧めします。またIoT機器を導入・利用するユーザー側の企業も、選定したIoT製品の開発・製造元のセキュリティ対策が果たして十分かどうかを検証するうえで、このガイドのポイントを参考にしてはいかがでしょうか。

※文中に掲載されている商品またはサービスなどの名称は、各社の商標または登録商標です。

富樫純一 / Junichi Togashi

ITジャーナリスト/テクニカルライター
米国IDGグループの日本法人、旧IDG Japanに入社。
「週刊COMPUTERWORLD」誌 編集記者、「月刊WINDOWS WORLD」誌 編集長、「月刊PC WORLD」誌 編集長などを経て2000年からフリーに。以来、コンシューマーからエンタープライズまで幅広いIT分野の取材・執筆活動に従事する。技術に加え、経営、営業、マーケティングなどビジネス関連の執筆も多い。

関連記事

  • 関連記事はありません

関連製品・サービス

  • 関連記事はありません

記事ランキング

TED DRIVING DIGITAL TRANSFORMATION(TDX)
に関するお問い合わせ