IoTセキュリティガイドライン
掲載:2019年10月11日
ガイドライン
IoT(Internet of Things:モノのインターネット)という言葉が一般的になってから現在に至るまで、その数は爆発的に増えており、2020年には530億個に達すると言われています。コンピューター以外のデバイスもインターネットに繋がることが当たり前になり、利用可能性が大きく広がっている訳ですが、反面、IoTにはITではあまり考慮しなくても済んだリスクが潜んでいます。例えば、物理的な盗難がその一例です。加えて、ITと同様に、いつの間にか不正利用されていたり、犯罪行為の一端を担うことになってしまったりといったリスクも存在します。
こうした状況を踏まえ、IoTに潜むセキュリティリスクをしっかり認識して正しく利用することを目的に、2016年7月にIoT推進コンソーシアム、総務省、経済産業省が共同で策定・公表したのが「IoTセキュリティガイドライン」です。
IoTセキュリティガイドラインの特徴
IoTセキュリティガイドラインは、IoT機器開発やサービス提供を行う企業を主な対象読者としています。
例えば「IoT開発におけるセキュリティ設計の手引き」ともう少し詳細に比較してみると、「IoT開発におけるセキュリティ設計の手引き」の方が、脅威や課題に対するセキュリティ対策について、具体的に記載されており、フィルタリングやアンチウイルスなどといった基本的なことの他、耐タンパーのような内部データの解析を困難にする専門的な対策まで記載されています。
一方、「IoTセキュリティガイドライン」では、セキュリティ対策について具体的な名称まで記載されていることは少なく、課題と対策についてより簡易的に記載されており、初心者向けで分かりやすい内容になっていると言えるでしょう。
◆IoTセキュリティガイドライン
国(機関) | 日本(総務省、経済産業省) |
---|---|
公開日 | 2016年7月 |
目的 | IoTで適切なセキュリティ対策を行う |
対象 |
|
特徴 | IoTの導入から運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に、全21の要点が挙げられている |
◆NISTIR 8200 (DRAFT)
「Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things」
国(機関) | 米国 (NIST:米国立標準技術研究所) |
---|---|
公開日 | 2018年2月 |
目的 | IoTで適切なセキュリティ対策を行う |
対象 |
|
特徴 | IoTの導入から運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に、全21の要点が挙げられている |
◆IoT開発におけるセキュリティ設計の手引き
国(機関) |
日本(IPA) |
---|---|
公開日 | 2017年12月 |
目的 | IoT に関わる各業界がセキュアな製品を、ユーザーに提供できるようになる |
対象 |
|
特徴 | 以下を掲載
|
◆ENISA Baseline Security Recommendations for IoT in the context of Critical Information Infrastructure
国(機関) | 欧州(欧州ネットワーク・情報セキュリティ機関) |
---|---|
公開日 | 2017年11月 |
目的 | IoTのセキュリティに関する対策やグッドプラクティスを提供する |
対象 |
|
特徴 | ヨーロッパにおけるIoTセキュリティのためのベースライン設定を目指したもの |
IoTセキュリティガイドラインの構成
IoTセキュリティガイドラインは4つの章で構成されており、第1章ではガイドラインの策定背景や対象、第2章ではIoT供給者側が意識すべき指針や具体例、第3章では一般利用者向けの注意事項、第4章ではガイドラインの今後の検討事項が記載されています。ガイドラインの中身は第2章と第3章に集約されており、また第3章の個人利用者向けの内容は60ページ中1ページのみとなっています。この構成からも分かるように、一般利用者も対象読者になっていますが、前述の通りIoT供給者向けの色合いが濃い内容と言えるでしょう。
参考までに、各章における主な対象読者を下表で示します。
章 | 供給者(IoT利用企業も含む) | 一般利用者 | ||
---|---|---|---|---|
経営者 | 機器 メーカー |
システム・サービス提供者 /IoT利用企業 |
||
はじめに | 〇 | 〇 | 〇 | 〇 |
第1章 背景と目的 |
〇 | 〇 | 〇 | 〇 |
第2章 IoTセキュリティ対策の 5つの指針 |
〇 | 〇 | 〇 | |
第3章 一般利用者のためのルール |
〇 | |||
第4章 今後の検討事項 |
〇 | 〇 | 〇 |
IoTセキュリティガイドラインの使い方・内容
IoTの開発・運用を行う企業は、主に第2章を参照すると想定されるため、この部分を深く見ていきます。第2章では、IoTの導入における経営の方針決定から分析、設計、構築・接続、運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に全21の要点が挙げられており、その要点毎にポイントと解説、必要となる対策が具体的に記載されています。
大項目 | 指針 | 要点 |
---|---|---|
2.1 方針 | IoTの性質を考慮した基本方針を定める | 1~2 |
2.2 分析 | IoTのリスクを認識する | 3~7 |
2.3 設計 | 守るべきものを守る設計を考える | 8~12 |
2.4 構築・接続 | ネットワーク上での対策を考える | 13~16 |
2.5 運用・保守 | 安全安心な状態を維持し、情報発信・共有を行う | 17~21 |
IoTセキュリティガイドラインの要点は、いわゆるIT系のガイドラインで解説されているセキュリティのポイントと共通する部分は多いのですが、IoT導入において特に重視すべきポイントがいくつかあります。
要点5 | つながりで波及するリスクを想定する |
---|---|
要点6 | 物理的なリスクを認識する |
要点11 | 不特定の相手とつなげられても安全安心を確保できる設計をする |
要点15 | 初期設定に留意する |
要点19 | つながることによるリスクを一般利用者に知ってもらう |
では、これらについて具体的な内容を見ていきます。
◆要点5:つながりで波及するリスクを想定する
IoTでは機器同士のつながりを通じて広範囲に影響が伝播します。あるIoT機器が単体で万全のセキュリティ対策を行っていたとしても、セキュリティレベルの低い他のIoT機器とつながることで、全体的なセキュリティレベルが低下することも想定されます。
そのため、個々のIoT機器のリスクが全体的に波及する可能性を視野に入れることが重要です。ITでも同様のリスクがありますが、IoTにおいてはよりセキュリティレベルが低くなりがちなため、特に意識したい点です。
◆要点6:物理的なリスクを認識する
IoTでは、可搬性のあるデバイスや、一般家庭や公共空間などに設置された機器・システムもネットワークを構成します。このため、きちんと管理されていないIoT機器が不正操作されるリスクが想定されます。例えば、駐車場の自動車や庭に置かれたIoT機器のカバーが開けられ、不正な機器をつなげられて遠隔操作されてしまうなどです。また、IoT機器が盗まれたり紛失したりすることも考えられます。このようなリスクを想定することが重要だとされています。
◆要点11:不特定の相手とつなげられても安全安心を確保できる設計をする
利用しているIoT機器が、意図していない不特定の機器につなげられて利用されるケースも考えられます。この状況においては、信頼性の低い機器が接続された場合に、機密情報が簡単に漏洩したり、想定していない動作が引き起こされたりすることが考えられます。そのため、他の機器と接続する際に、内容に応じて接続可否を判断できるようなセキュリティ対策が求められます。
◆要点15:初期設定に留意する
IoTシステム・サービスの提供者として、管理者権限等や利用者の初期設定のパスワード変更対応についても、徹底しなくてはなりません。ITリテラシーが高くない一般利用者が初期設定のまま使ってしまうことを考慮し、利用者にしっかりと注意喚起する必要があります。
◆要点19:つながることによるリスクを一般利用者に知ってもらう
IoT機器メーカーやサービス提供者が各種リスク対策を行ったとしても、一般利用者の使い方次第では、周囲に悪影響を与える場合があります。
そのため、企業側では一般利用者に対して、不用意なつなぎ方や使い方をしないよう、適切に周知する必要があります。一般的なITと比較して、IoTは波及効果により影響範囲や影響度合いが大きいため、自社のみならずその先のエンドユーザーにもしっかりと説明することが重要です。
最後に
IoTセキュリティガイドラインではこのように、IoTの導入における経営の方針決めから、リスクの特定・分析、IoT機器のセキュリティ設計、ネットワーク等の構築・接続、運用・保守までの各フローにおいて、ポイントや必要となる対策が記載されています。このため、企業はIoTを活用する際に、活用する場面と、本ガイドラインの各フローとを照らし合わせ、必要とされるリスクの認識や具体的な対策の検討を行うことができます。
内容はそれほど高度なことを要求している訳ではなく、一般的に取り組むべきことがしっかり書かれており、他のガイドラインと比較しても入りやすいものだと言えるでしょう。
IoTの発展は目覚ましく、これから私たちの生活をより豊かにすることが見込まれますが、リスクを適切に捉えて利用しないと思わぬ被害を受ける可能性があります。供給者も一般利用者も、IoTセキュリティガイドラインを活用し、セキュリティが保たれたIoT活用につなげることが期待されます。
おすすめ記事
- PSIRT
- IoT機器向けセキュリティチェックリストを公開 JPCERT/CC
- 「IoTセキュリティ総合対策 プログレスレポート2019」を公表 総務省
- 今夏公開に向けて意見公募を開始、第3.0版の「スマートシティセキュリティガイドライン」案を公開 総務省
- 産学官の取り組み事例を紹介、「インターネット上の偽・誤情報対策に係るマルチステークホルダーによる取組集」を公開 総務省
- 大規模言語モデル(LLM)を焦点にリスクと影響を評価、初期パイロットテスト「ARIA 0.1」を公表 NIST
- スマートシティセキュリティガイドライン第3.0版と改訂版導入ガイドを公表 総務省
- 海外で進む「IoTセキュリティラベリング制度」
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC