ガイドライン

IoTセキュリティガイドライン

2019年10月11日

IoT(Internet of Things:モノのインターネット)という言葉が一般的になってから現在に至るまで、その数は爆発的に増えており、2020年には530億個に達すると言われています。コンピューター以外のデバイスもインターネットに繋がることが当たり前になり、利用可能性が大きく広がっている訳ですが、反面、IoTにはITではあまり考慮しなくても済んだリスクが潜んでいます。例えば、物理的な盗難がその一例です。加えて、ITと同様に、いつの間にか不正利用されていたり、犯罪行為の一端を担うことになってしまったりといったリスクも存在します。

こうした状況を踏まえ、IoTに潜むセキュリティリスクをしっかり認識して正しく利用することを目的に、2016年7月にIoT推進コンソーシアム、総務省、経済産業省が共同で策定・公表したのが「IoTセキュリティガイドライン」です。

IoTセキュリティガイドラインの特徴

IoTセキュリティガイドラインは、IoT機器開発やサービス提供を行う企業を主な対象読者としています。

例えば「IoT開発におけるセキュリティ設計の手引き」ともう少し詳細に比較してみると、「IoT開発におけるセキュリティ設計の手引き」の方が、脅威や課題に対するセキュリティ対策について、具体的に記載されており、フィルタリングやアンチウイルスなどといった基本的なことの他、耐タンパーのような内部データの解析を困難にする専門的な対策まで記載されています。

一方、「IoTセキュリティガイドライン」では、セキュリティ対策について具体的な名称まで記載されていることは少なく、課題と対策についてより簡易的に記載されており、初心者向けで分かりやすい内容になっていると言えるでしょう。

◆IoTセキュリティガイドライン

国(機関) 日本(総務省、経済産業省)
公開日 2016年7月
目的 IoTで適切なセキュリティ対策を行う
対象
  • 供給者
  • 利用者
特徴 IoTの導入から運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に、全21の要点が挙げられている

 

◆NISTIR 8200 (DRAFT)
「Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things」

国(機関) 米国 (NIST:米国立標準技術研究所)
公開日 2018年2月
目的 IoTで適切なセキュリティ対策を行う
対象
  • 供給者
  • 利用者
特徴 IoTの導入から運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に、全21の要点が挙げられている

 

◆IoT開発におけるセキュリティ設計の手引き

国(機関)

日本(IPA)

公開日 2017年12月
目的 IoT に関わる各業界がセキュアな製品を、ユーザーに提供できるようになる
対象
  • IoT開発におけるセキュリティ設計の開発者
特徴 以下を掲載
  • 脅威とリスクを整理し、課題を抽出
  • IoTにおけるセキュリティ設計を解説
  • 具体的な脅威分析・対策検討の実施例を図解
  • セキュリティの根幹を支える暗号技術の実装チェックリストを提供

 

◆ENISA Baseline Security Recommendations for IoT in the context of Critical Information Infrastructure

国(機関) 欧州(欧州ネットワーク・情報セキュリティ機関)
公開日 2017年11月
目的 IoTのセキュリティに関する対策やグッドプラクティスを提供する
対象
  • ソフトウェアの開発者、利用者、運用者
  •  情報セキュリティの専門家
  • 最高情報セキュリティ責任者(CISO)
  •  重要情報インフラ防護(CIIP)の専門家
特徴 ヨーロッパにおけるIoTセキュリティのためのベースライン設定を目指したもの

 

IoTセキュリティガイドラインの構成

IoTセキュリティガイドラインは4つの章で構成されており、第1章ではガイドラインの策定背景や対象、第2章ではIoT供給者側が意識すべき指針や具体例、第3章では一般利用者向けの注意事項、第4章ではガイドラインの今後の検討事項が記載されています。ガイドラインの中身は第2章と第3章に集約されており、また第3章の個人利用者向けの内容は60ページ中1ページのみとなっています。この構成からも分かるように、一般利用者も対象読者になっていますが、前述の通りIoT供給者向けの色合いが濃い内容と言えるでしょう。

参考までに、各章における主な対象読者を下表で示します。

供給者(IoT利用企業も含む) 一般利用者
経営者 機器
メーカー
システム・サービス提供者
/IoT利用企業
はじめに
第1章
背景と目的
第2章
IoTセキュリティ対策の
5つの指針
 
第3章
一般利用者のためのルール
     
第4章
今後の検討事項
 

 

IoTセキュリティガイドラインの使い方・内容

IoTの開発・運用を行う企業は、主に第2章を参照すると想定されるため、この部分を深く見ていきます。第2章では、IoTの導入における経営の方針決定から分析、設計、構築・接続、運用・保守までの全フローにおいて、セキュリティ対策の大元である指針を基に全21の要点が挙げられており、その要点毎にポイントと解説、必要となる対策が具体的に記載されています。

大項目 指針 要点
2.1 方針 IoTの性質を考慮した基本方針を定める 1~2
2.2 分析 IoTのリスクを認識する 3~7
2.3 設計 守るべきものを守る設計を考える 8~12
2.4 構築・接続 ネットワーク上での対策を考える 13~16
2.5 運用・保守 安全安心な状態を維持し、情報発信・共有を行う 17~21


IoTセキュリティガイドラインの要点は、いわゆるIT系のガイドラインで解説されているセキュリティのポイントと共通する部分は多いのですが、IoT導入において特に重視すべきポイントがいくつかあります。
 

要点5 つながりで波及するリスクを想定する
要点6 物理的なリスクを認識する
要点11 不特定の相手とつなげられても安全安心を確保できる設計をする
要点15 初期設定に留意する
要点19 つながることによるリスクを一般利用者に知ってもらう

 

では、これらについて具体的な内容を見ていきます。

 

◆要点5:つながりで波及するリスクを想定する
IoTでは機器同士のつながりを通じて広範囲に影響が伝播します。あるIoT機器が単体で万全のセキュリティ対策を行っていたとしても、セキュリティレベルの低い他のIoT機器とつながることで、全体的なセキュリティレベルが低下することも想定されます。
そのため、個々のIoT機器のリスクが全体的に波及する可能性を視野に入れることが重要です。ITでも同様のリスクがありますが、IoTにおいてはよりセキュリティレベルが低くなりがちなため、特に意識したい点です。

◆要点6:物理的なリスクを認識する
IoTでは、可搬性のあるデバイスや、一般家庭や公共空間などに設置された機器・システムもネットワークを構成します。このため、きちんと管理されていないIoT機器が不正操作されるリスクが想定されます。例えば、駐車場の自動車や庭に置かれたIoT機器のカバーが開けられ、不正な機器をつなげられて遠隔操作されてしまうなどです。また、IoT機器が盗まれたり紛失したりすることも考えられます。このようなリスクを想定することが重要だとされています。

◆要点11:不特定の相手とつなげられても安全安心を確保できる設計をする
利用しているIoT機器が、意図していない不特定の機器につなげられて利用されるケースも考えられます。この状況においては、信頼性の低い機器が接続された場合に、機密情報が簡単に漏洩したり、想定していない動作が引き起こされたりすることが考えられます。そのため、他の機器と接続する際に、内容に応じて接続可否を判断できるようなセキュリティ対策が求められます。

◆要点15:初期設定に留意する
IoTシステム・サービスの提供者として、管理者権限等や利用者の初期設定のパスワード変更対応についても、徹底しなくてはなりません。ITリテラシーが高くない一般利用者が初期設定のまま使ってしまうことを考慮し、利用者にしっかりと注意喚起する必要があります。

◆要点19:つながることによるリスクを一般利用者に知ってもらう
IoT機器メーカーやサービス提供者が各種リスク対策を行ったとしても、一般利用者の使い方次第では、周囲に悪影響を与える場合があります。
そのため、企業側では一般利用者に対して、不用意なつなぎ方や使い方をしないよう、適切に周知する必要があります。一般的なITと比較して、IoTは波及効果により影響範囲や影響度合いが大きいため、自社のみならずその先のエンドユーザーにもしっかりと説明することが重要です。

最後に

IoTセキュリティガイドラインではこのように、IoTの導入における経営の方針決めから、リスクの特定・分析、IoT機器のセキュリティ設計、ネットワーク等の構築・接続、運用・保守までの各フローにおいて、ポイントや必要となる対策が記載されています。このため、企業はIoTを活用する際に、活用する場面と、本ガイドラインの各フローとを照らし合わせ、必要とされるリスクの認識や具体的な対策の検討を行うことができます。
内容はそれほど高度なことを要求している訳ではなく、一般的に取り組むべきことがしっかり書かれており、他のガイドラインと比較しても入りやすいものだと言えるでしょう。

IoTの発展は目覚ましく、これから私たちの生活をより豊かにすることが見込まれますが、リスクを適切に捉えて利用しないと思わぬ被害を受ける可能性があります。供給者も一般利用者も、IoTセキュリティガイドラインを活用し、セキュリティが保たれたIoT活用につなげることが期待されます。

(執筆:杉浦 広明

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる