【ホワイトペーパー】IoTに求められるセキュリティは新たなフェーズに | IoT設計構築支援 TED REAL IoT

IoT機器の増加に伴い頻発するサイバー攻撃

　企業のオフィスや産業制御システム領域でIoT機器が増加しています。ネットワークを介してさまざまな機器やセンサーをつなぎ、データを収集することにより、生産性の向上や新たな付加価値の創出につながると期待されており、2020年には全世界のIoT端末は約400億台に上ると予測されています。
　しかしIoTがもたらすものは、明るい側面ばかりではありません。急速なIoT化に伴って、IoT機器を狙うサイバー攻撃もまた増加しています。情報通信研究機構（NICT）の調査によると、014年から2017年の3年間でIoT機器を狙った攻撃は約5.7倍も増加しました。
　こうした状況を背景に、政府も対策に乗り出しました。総務省は2017年10月に「IoTセキュリティ総合対策」（https://www.soumu.go.jp/main_content/000648314.pdf）を、また経済産業省は2019年4月に「サイバー・フィジカル・セキュリティ対策フレームワーク」
（https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html）を策定し、IoTのセキュリティ対策を推進しています。
　海外に目を向けても、欧米を中心にIoTデバイスに対するセキュリティの強化を求める動きが広がっています。

日米のIoTセキュリティ政策にみる“2つのキーワード”

　一連の政府の動きを読み解くと、「セキュリティ・バイ・デザイン」と「プロダクト・ライフサイクル管理」という2つのキーワードが浮かび上がってきます。
　例えば総務省のIoTセキュリティ総合対策では、機器メーカーに対して「設計時からセキュリティ仕様を盛り込むこと」を求めています。開発を終え、出荷前の最終段階になって初めてセキュリティのことを検討するのではなく、企画・設計といった製品ライフサイクルの初期段階からセキュリティ・バイ・デザインでさまざまな脅威を想定し、それらへの対策を盛り込むことで、安全に利用できるIoT機器を提供するべきというわけです。
　また2020年4月に予定されている技術基準適合認定の変更では、IoT機器に対してアクセス制御やパスワード更新といった基本的なセキュリティ対策の実装を求めるとともに、ファームウェア・アップデート機能の実装も義務化することになっています。製品を作って売ったら終わりではなく、出荷後にも視野を広げ、もし新たな脆弱性が発覚した場合にはそれを修正できる仕組みを整えることが、インターネットに接続されるあらゆる機器に求められるのです。
　同じく2020年4月から施行される改正民法では、少なくとも出荷後5年間はサポートを提供する、つまり必要に応じてセキュリティパッチを提供する義務が課せられます。
　こうした取り組みは日本国内のみに限りません。米国でも、2020年1月に施行されたカリフォルニア州法では、IoT機器に対してセキュリティ機能装備の義務化を求めていますし、米国政府や関連機関が調達するIoT機器についても、アップデート機能が必須となっています。つまり、米国などでグローバルにビジネスを展開しようと考えるならば、開発の最初の段階からセキュリティ機能を組み入れ、出荷後も脆弱性へのケアが求められるというわけです。

続きを読むには、下記より入力フォーム画面へ

資料ダウンロード