IoTシステムのセキュリティ対策は重要だと認識しているものの、どのような手順で実装すればよいのかわからない ―― そんな悩みに応えるドキュメントが公開されました。一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)がIoTシステム開発者を対象に、セキュリティ実装レベルの仕様をまとめた「IoTセキュリティ手引書Ver1.0」です。今回はこのドキュメントの内容について紹介します。
IoTシステムの普及とともに、IoTデバイスの稼働数が急増しています。総務省が2020年8月に公表した「令和2年版情報通信白書」(https://www.soumu.go.jp/johotsusintokei/whitepaper/)によると、2019年における全世界のIoTデバイス数は約253億台。2021年には300億台を超えると予測しています。現時点で稼動数が多いのはスマートフォンやネットワーク機器などの「通信」分野ですが、今後はデジタルヘルスケア製品や画像診断装置などの「医療」、工場やインフラ、物流などの「産業用途」、スマート家電やパソコン周辺機器などの「コンシューマー」、コネクテッドカーや航空機計装機器などの「自動車・宇宙航空」といった各分野の成長が見込まれています。
一方、IoTデバイスが普及するにつれ、IoTデバイスを狙ったサイバー攻撃も増えています。とくにセキュリティ対策が脆弱な監視カメラ、あるいはモバイルルーターなどのインターネットに直接接続されたIoTデバイスが狙われることが多く、ファイルレス攻撃の踏み台に悪用されるケースも出ています。
しかし最近は、IoTデバイスをサイバー攻撃の被害から守るために、ネットワークやアプリケーションレイヤーを保護するセキュリティソリューションが導入される例も増えています。また、セキュリティ機能が組み込まれたIoTデバイスも標準になりつつあります。そんなIoTデバイスを含む汎用的な制御システムのセキュリティ規格が「IEC62443」です。
IEC62443はもともと、産業用制御システム(ICS)のセキュリティ技術仕様を提供するためにIEC(International Electrotechnical Commission:国際電気標準会議)とISA(International Society of Automation:国際計測制御学会)が共同でまとめたドキュメントです。ICSを構成するハードウェアやソフトウェア、データ処理プラットフォームなどのシステムだけでなく、人や組織、ポリシー、手順などの規則も含めて定義されています。
IEC62443は欧州(EU)をはじめ世界各国の調達基準として、すでに適用されています。米国ではNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が策定した「SP800」が調達基準になっていますが、これはIEC62443とほぼ同等の内容です。つまり、IEC62443に準拠したセキュリティ機能が搭載されていないIoTデバイスでは、調達基準を満たせず、市場へ提供できないことが考えられるのです。
図1●世界のIoTデバイス数の推移と予測(出典:総務省「令和2年版情報通信白書」)
(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd114120.html)
しかしながら、IoTデバイスにセキュリティ機能を組み込むにはノウハウが必要です。そこで一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)は2020年11月、IEC62443をベースにIoTデバイスに求められる実装レベルのセキュリティ仕様をまとめた「IoTセキュリティ手引書Ver1.0」を公開しました。
SIOTP協議会は、IoTシステムの利用者が安心・安全にIoTデバイスやそのサービスを利用できるように、世界標準/デファクトスタンダードのセキュリティプラットフォームの構築を目指す組織として2017年4月に設立されました。現在は日本産業界の知見を集めたオープンイノベーションにより、IoT機器の製造段階からクラウド環境のサービスまでを包含したセキュリティ標準化を推進しています。
IoTセキュリティ手引書は、IoTデバイスに求められる真正性の担保、設計から廃棄までの安全な製品ライフサイクル/サプライチェーンの管理など具体性のある実装レベルの仕様づくりに取り組む「仕様検討部会」の活動を通じてまとめられたものです。
IoTセキュリティ手引書はIEC62443のうち産業機器開発者向けの規格である「IEC62443-4」を基準に、IoTセキュリティで必要となる項目がまとめられています。ドキュメントの構成は「検討モデル」「フェーズ別考察」に大きく分かれており、IoTデバイスメーカーやIoTクラウドサービス事業者、あるいはIoTソリューションをトータルサービスとして提供する事業者にとっても有用な内容となっています。
「検討モデル」では、製品ライフサイクルを基軸に「IoTシステムの階層モデル」をベースとした検討内容がまとめられています。そのなかの「設計」「開発」については、ハードウェアとソフトウェアのセキュリティ対策の差異を埋めるため、「アーキテクチャ設計」「ハードウェア設計」「ソフトウェア設計」などに分類するといった独自の工夫もみられます。
ドキュメントの本編とも言うべき「フェーズ別考察」では、「企画」「設計」「選定」「開発」「製造」「調達」「量産」「販売」「運用」「廃棄」という製品ライフサイクルの各フェーズについての解釈の仕方や検証の方法などが述べられています。初版ではフェーズごとの内容に差がありますが、例えばソフトウェア設計フェーズには「ユーザー認証」「アクセス制御」「セッション管理」「URLパラメーター」「文字列処理」「サイトデザイン」「ログ」などについて基準や評価方法が記載されています。また運用フェーズにも「データ盗聴」「データ改ざん」「デバイスなりすまし」「プログラム改ざん」「プログラム漏えい」など、IoTデバイスで想定される脅威や対策が事細かに解説されています。
このほか、ドキュメントの巻末には「IoTセキュリティ用語」が収録されており、用語の定義や意味を知ることができます。
SIOTP協議会では今後、会員各社のIoTソリューションを中心にセキュリティ実装の有効性を評価していく予定です。また評価によって明らかになった課題をフィードバックするという形で、IoTセキュリティ手引書を随時アップデートしていく計画です。
さらに、2021年中にも「標準化部会」を立ち上げ、IoTセキュリティ手引書にもとづいた実装レベルのセキュリティ仕様を確認できる「SIOTP協議会セキュリティチェックシート」の策定計画も持っているとのことです。
今回紹介したIoTセキュリティ手引書の対象は、あくまでもIoTシステム開発者となっていますが、IoTシステムを導入する企業が調達要件を満たしているかどうかを検証するための参考書としても活用できます。SIOTP協議会のWebページ(https://www.secureiotplatform.org/)から無料で自由にダウンロードできるので、ぜひ目を通してみることをお勧めします。
図2●「IoTセキュリティ手引書Ver1.0」
(https://www.secureiotplatform.org/static/images/20201110.pdf)
図3●手引書内に示されている「IoTセキュリティ総合対策モデル」
※文中に掲載されている商品またはサービスなどの名称は、各社の商標または登録商標です。
富樫純一 / Junichi Togashi
ITジャーナリスト/テクニカルライター
米国IDGグループの日本法人、旧IDG Japanに入社。
「週刊COMPUTERWORLD」誌 編集記者、「月刊WINDOWS WORLD」誌 編集長、「月刊PC WORLD」誌 編集長などを経て2000年からフリーに。以来、コンシューマーからエンタープライズまで幅広いIT分野の取材・執筆活動に従事する。技術に加え、経営、営業、マーケティングなどビジネス関連の執筆も多い。