IoTセキュリティ監査サービス
急速に拡大するIoTとセキュリティの重要性
デジタルトランスフォーメーション(DX)やデジタル化が急速に進展する現在、あらゆる情報が電子データ化されています。
その莫大なデータを生み出しているものの一つがIoT(モノのインターネット)機器です。IoT機器は増加の一途をたどり、企業向け用途のみならず、家電や玩具など様々なデバイスで個人にまで浸透、その数は2020年には530億個に達するといわれています。
ビジネスの世界においては、これらの膨大なデータをいかに有効に利活用できるかが、グローバル競争を勝ち抜く鍵となっています。
セキュリティという観点から企業が管理を求められてきたものといえば、情報システム(IT)や制御システム(OT)がありますが、IoTはITとOTの中間に位置しているといえます。金額が安く導入が容易で、屋内外を問わず様々な設置場所で活用できることが特徴です。
IT: 情報システム | IoT | OT: 制御システム | |
---|---|---|---|
セキュリティの優先順位 | 情報が適切に管理され、情報漏洩を防ぐことを重視 | モノ、情報が適切に管理され情報漏洩を防ぐことを重視 | システムが継続して安全に稼働できることを重視 |
セキュリティの対象 | 情報 | モノ(設備・製品) 情報 |
モノ(設備・製品) サービス(連続稼働) |
システムのコスト | ~高い | 安い~ | 高い |
技術のサポート期間 | 3~5年 | 5~10年 | 10年~20年 |
求められる可用性 | 再起動は許容範囲のケースが多い | 24時間365日稼働 (場合によっては) |
24時間365日稼働 |
設置場所 | 室内、可搬 | 室内、屋外、可搬 | 室内 |
運用管理 | 情報システム部門 | 管理はまちまち 管理者不在の場合も |
現場技術部門 |
こうした特徴は同時に、ITやOTでは発生しなかった様々なリスクにもつながります。
例えば、屋外に設置されたIoT機器は盗難の危険性が高く、悪意のある人が機器を破壊・改造したり、意図的にセンサーを誤認識させたりする等のリスクもあります。また、導入が容易であるという特徴は現場主導で勝手な運用が行われやすいと言えます。
そのようにして導入されたIoT機器の一部には、パスワードが簡単に推測されやすい、ファームウェアを更新せず放置している、不要なポートを開放したまま侵入される足掛かりになりかねない等、リスクが山積しています。
IoTセキュリティ監査サービスの特長
- 自社が利用するIoT機器のインターネット接続状況を確認し、脆弱性を含めた機器設定に関するリスクを特定します
まず現状のIoT機器の利用状況を調査します。調査には専用ネットワーク検索ツール類を使用し、インターネット接続の有無を確認するとともにIoT機器が抱える脆弱性など、セキュリティの観点で細かく調べます。 - 運用ルール・オペレーションに関するリスクの現状を可視化します
IoT機器の設定以外のリスク、例えばIoT機器のファームウェアアップデートの運用ルールやIoT機器設置の申請方法など、オペレーション全般について、文書やインタビュー等を行いリスクを特定します。これらは「IoTセキュリティガイドライン」や「ENISA Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures」等、国内外の様々なガイドラインと、多数の支援実績および弊社独自の知見も反映した監査基準に基づき、実施します。 - リスクに対する最善の改善策を提示します
特定されたリスクに対し、具体的な改善策を提示します。お客様のビジネスモデルや企業形態に応じて、優先順位を明確にするとともに、規程やマニュアルレベルでの改善点、体制の在り方、人材育成など様々な観点から改善策を提示します。
作業ステップ(例)
サービス提供の主な流れは以下の通りです
報告書イメージ
IoT機器のインターネット接続状況や運用ルール・オペレーションに関するリスクを特定し、改善すべきポイントや改善方法等に重点を置いてご報告します。