[クローズアップ]

「IoTセキュリティガイドライン Ver1.0」を読み解く― セキュリティ・バイ・デザインに基づいた5つの指針 ―

2016/08/03
(水)
中尾 真二 フリーランスライター

あらゆるモノがインターネットにつながるIoT(Internet of Things)。これまでインターネットにつながるのはPC(サーバ含む)やスマートフォンがほとんどだった。しかし、IoTでは、センサー、監視カメラ、工作機械、自動車、ロボット、あるいは日用品や衣類といったものまでインターネットにつながると言われている。
そのようななか、2016年7月5日、IoT推進コンソーシアムによって「IoTセキュリティガイドライン ver 1.0」が公表された注1。あらゆるものがインターネットにつながるIoT時代において求められるセキュリティについての考え方、ガイドラインを提供するために作成されている。
本稿では、同コンソーシアム セキュリティWGの事務局を代表して、総務省 情報流通行政局 情報流通振興課 情報セキュリティ対策室 課長補佐 道方 孝志(みちかた たかし)氏への取材を交えつつ「IoTセキュリティガイドライン」(以下、ガイドライン)について解説する。

あらゆるものがつながる時代のセキュリティ

 あらゆる機器をインターネットに接続する目的は、より付加価値の高い、高度で便利な機能やサービスを実現しようというものだ。便利になる一方、インターネットにつながるということは、当然リスクにもさらされる(図1)。セキュリティ対策は必須と言っていいだろう。

図1 IoTの新たなセキュリティ上の脅威

図1 IoTの新たなセキュリティ上の脅威

出所 「IoTセキュリティガイドラインver1.0概要」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省

 とはいうものの、いままでインターネットにつなぐことがなかった機器について、どのような脅威(リスク)を想定すればいいのだろうか。どのような対策があるのだろ

うか。ガイドラインをどう読めばいいのか、

インフラ事業者や制御系ではSCADA注2や制御システムセキュリティという考え方があったが、それとの違いはあるのだろうか。そもそも考えなければいけないものなのか。慣れない側にとっては疑問がつきない。

IoT推進コンソーシアムの背景とガイドラインの目的

 ガイドラインを作成したのは「IoT推進コンソーシアム」という組織である。このコンソーシアムは政府の「日本再興戦略」(2015年6月改訂)注3に基づき組織された注4。コンソーシアムの設立趣旨によれば、目的はIoT・ビッグデータ・人工知能を業種の壁を超えて活用するためとなっている。

 コンソーシアムには、現在2つのWG(ワーキンググループ)が存在している。1つはIoTセキュリティWG、もう1つはデータ流通促進WGだ。ガイドラインの作成は、IoTセキュリティWG(座長:佐々木良一 東京電機大学 教授)が担当し、この下に2つのサブワーキンググループ(機器製造・管理SWGおよびネットワークSWG)を設置して検討を行った注5。当該WGは、2016年1月から2回の会議を経て同6月にガイドライン案を作成し、公表した。6月1~14日の期間で、ガイドライン案に対する一般からの意見募集を行い、修正作業を行って、7月5日に「IoTセキュリティガイドライン ver 1.0」として策定、公表された注6

 ガイドラインの目的は「IoT機器やサービスについてセキュリティ・バイ・デザイン(後述)を基本原則として、セキュリティ確保に必要な取り組みを明確にすることで、積極的な開発の促進と利用者が安心して使える環境を生み出す」ということになる。

 その一方で「サイバー攻撃による被害について法的責任の所在を規定したり、一律な対策の実施を強制するものではない」とも謳っている。

ガイドラインの概要とポイント

 詳細について、道方氏の話を含めてもう少し掘り下げてみよう。

 「IoTは、PCやスマートフォンのようなコンピュータ以外のデバイスや機器がインターネットにつながります。その対象はコンシューマ製品から自動車・インフラ設備など多岐にわたります。したがって、ガイドラインは、特定の業界・業種に特化していません。ガイドラインをさまざまな業界、組織を横断的に適用・展開できるように、セキュリティへの考え方や対策の普遍的な部分にフォーカスしていると言っていいでしょう」

 道方氏が「横断的」というように、ガイドラインの示す範囲は広く、各論よりもセキュリティの方針や設計にかかわる記述が多い。想定している業界(読者)も、IoTを利用する企業(または個人)、プロバイダやアプリケーションベンダなどのサービス提供者、プラットフォームやネットワークを担当するシステム提供者、センサーやカメラ、モバイルデバイスなど機器・製品を開発するメーカーとなっている〔図2、表1〕。

図2 IoTセキュリティガイドラインの対象範囲

図2 IoTセキュリティガイドラインの対象範囲

出所 「IoTセキュリティガイドラインver 1.0」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省

表1 IoTセキュリティガイドラインの具体的な対象者の例

表1 IoTセキュリティガイドラインの具体的な対象者の例

出所 「IoTセキュリティガイドラインver 1.0」、2016年7月、IoT推進コンソーシアム、総務省、経済産業省

 そしてもう1つ重要なのは、これらのステークホルダーには、現場の人間だけでなくそれぞれの経営者も欠かせないことだ。セキュリティ対策の全般にいえることだが、いまや経営の関与なしに高度なセキュリティは確保できない。IT部門に任せて機器やソフトウェアを導入するだけでは、IoTに限らず危険だ。


▼ 注1
総務省
経済産業省

▼ 注2
SCADA:Supervisory Control And Data Acquisition、スキャダ。監視制御システム。

▼ 注3
http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/dai1jp.pdf

▼ 注4
http://www.iotac.jp/

▼ 注5
2016年1月21日より、IoT推進コンソーシアムにおいてIoTセキュリティWG(事務局:総務省・経済産業省)を開催してきた。
http://www.iotac.jp/wg/security/

▼ 注6
http://www.iotac.jp/wp-content/uploads/2016/01/03-IoTセキュリティガイドラインver1.0別紙1.pdf
http://www.iotac.jp/wp-content/uploads/2016/01/04-IoTセキュリティガイドラインver1.0概要(別紙2.pdf
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=145208784 &Mode=2

▼ 注7
企業利用者については、IoT機器・システム、サービスを自社の生産活動やサービス供給等ビジネスの中に組み込んでこれらの管理を行いつつ、利用している事業者を想定している。

▼ 注8
工場等の制御システムもIoT機器・システムと接続されることで、ユーザ情報など一般利用者に影響を与えることも想定される。

ページ

関連記事
新刊情報
 2015年頃より、IoT(InternetofThings)や人工知能(AI)が注目され始め、これらの技術を使って家電や自動車などあらゆるモノがネットワークにつながり、効率的な社会を創造することが期...
 いよいよ日本でも、IoT時代に必須のLPWA(Low Power wide Area、省電力型広域無線網)サービスがスタートします。  第4次産業革命に向けて、エネルギー、ヘルスケア、製造業、...
 NIST(米国国立標準技術研究所)が2009年11月に立ち上げた委員会「SGIP」(スマートグリッド相互運用性パネル)は、2013年にSGIP 2.0となり、新たな活動を展開している。  SG...